C#代码如下:
String cmdText = @"select [CurrentYear],[CorpCode],[ItemCode],[Mark],[LikeLen] from @tableName where 1 = 1"; List<SqlParameter> parameters = new List<SqlParameter>();
parameters.Add(new SqlParameter("@tableName", SqlDbType.VarChar, 4000));
parameters[parameters.Count - 1].Value = rule.TableName;不是提供了表名的参数了么?
正确的因该是怎样的????
String cmdText = @"select [CurrentYear],[CorpCode],[ItemCode],[Mark],[LikeLen] from @tableName where 1 = 1"; List<SqlParameter> parameters = new List<SqlParameter>();
parameters.Add(new SqlParameter("@tableName", SqlDbType.VarChar, 4000));
parameters[parameters.Count - 1].Value = rule.TableName;不是提供了表名的参数了么?
正确的因该是怎样的????
解决方案 »
- 【数据库安全】由于项目需要,将开启数据库的公网访问权限
- 复制数据库时遇到的一个问题
- group 问题????????????????????????????????
- 在sql2008中 当只有一个mdf文件的话 如何重新生成日志?
- 请问哪里有ANSI SQL-92标准可以下载学习?
- 请问MS SQL 6.5中如何修改数据库结构?如何设置定时备份数据库?
- 求救,列名无效
- 急!!!!!!有关对日期的表达方式(在线等)
- 请教大家一下,sqlserver2000怎样在win98下安装服务器组件
- MS SQL Server 2008在恢复中断后,打开不了数据
- 表间联接left join 问题
- 如何批量更新数据,我这么写好像不行,求救ing....
对。但你这是动态语句,不能用你的方式做的。你要么在C#中拼好SQL,要么在SQL端用EXEC执行。总之都有机会SQL注入,你自己把握好了。
动态SQL 不 支持 表名动态哈