.NET/SQL中的参数化表名？

在这个问答中，我们将讨论如何在 .NET 和 SQL 中使用参数化表名。

在编写 SQL 查询时，通常需要在查询中使用表名。然而，直接将表名插入到查询中可能会导致 SQL 注入攻击。为了避免这种情况，我们可以使用参数化查询。

在 .NET 中，可以使用 ADO.NET 的 SqlCommand 类来实现参数化查询。以下是一个示例：

using (SqlConnection connection = new SqlConnection(connectionString))
{
    connection.Open();

    using (SqlCommand command = new SqlCommand("SELECT * FROM @tableName", connection))
    {
        command.Parameters.AddWithValue("@tableName", "Users");

        using (SqlDataReader reader = command.ExecuteReader())
        {
            while (reader.Read())
            {
                // 处理查询结果
            }
        }
    }
}

在这个示例中，我们使用 @tableName 作为参数化表名的占位符，并使用 Parameters.AddWithValue 方法将表名的值传递给查询。

然而，在 SQL 中，我们不能直接将参数化表名用于查询。为了解决这个问题，我们需要使用动态 SQL。以下是一个示例：

DECLARE @sql NVARCHAR(MAX) = 'SELECT * FROM ' + @tableName;

EXEC sp_executesql @sql;

在这个示例中，我们首先将查询字符串存储在 NVARCHAR(MAX) 类型的变量中，然后使用 sp_executesql 存储过程执行查询。

总之，在 .NET 和 SQL 中使用参数化表名可以避免 SQL 注入攻击，并提高应用程序的安全性和性能。

@indexName附近语法不正确。脱衣舞

c#、sql-server、dapper

这似乎是一种奇怪的行为，但下面的代码抛出了一个错误：{也许我遗漏了什么？有谁能提出解决办法吗？

浏览 0提问于2019-04-05得票数 2

回答已采纳

7回答

在.NET/SQL中参数化表名？

sql、.net、sql-server、parameters

正如主题所暗示的那样，我希望能够使用.NET (实际上是哪种语言)和SQL Server将表名作为参数进行传递。我知道如何对值执行此操作，例如，在查询中使用@whatever来表示参数的command.Parameters.AddWithValue("whatever", whatever)。问题是，在这种情况下，我希望能够对查询的其他部分执行此操作，例如列名和表名。这不是一种理想的</

浏览 4提问于2008-12-16得票数 11

回答已采纳

1回答

dapper可以替换表名吗？

c#、dapper

我原以为dapper-dot-net可以在这样的查询中替换表名：但是，它似乎并不能替代表名。这是预期的限制吗？

浏览 0提问于2013-06-08得票数 1

回答已采纳

1回答

如何在ODBC查询中参数化表名

c#、asp.net、sql-server、odbc

我有到数据库的ODBC连接，我希望用户能够查看任何表中的数据。因为这是一个ASP.net应用程序，所以我不能相信发送的表名也不包含坏处。我尝试过使用参数化查询，但我总是遇到一个错误，即我“必须声明表变量”--这似乎是一个问题，因为它是表名。 Od

浏览 1提问于2012-12-17得票数 1

回答已采纳

3回答

Python pysqlite不接受我的qmark参数化

python、sqlite、pysqlite、python-db-api

我认为我是一个笨蛋，也许没有导入正确的软件包，但当我导入时…import typesimport sys: syntax error 这对我来说意义不大，因为文档显示pysqlite是qmark参数化的。我是python和db-api的新手，帮帮我吧！谢谢

浏览 6提问于2009-01-23得票数 1

回答已采纳

1回答

如何使用ADO查询参数指定表和字段名？

sql、delphi、parameters、ado

我正在TADOQuery中执行一条TADOQuery语句，并将参数用于一些事情。一开始，它运行得很好，但是我为表名和字段名添加了另一个参数，现在它正在崩溃。代码如下所示：Q.Parameters.ParamValuesFieldName; Q.Parameters.ParamValues['

浏览 2提问于2013-10-23得票数 1

回答已采纳

2回答

MySql.Data错误:您的SQL语法出现了错误；请检查与MySQL服务器版本对应的手册，以获得正确的语法。

c#、mysql

以下代码：sql.Connection = connection;sql.Parameters.Add(new

浏览 3提问于2014-11-17得票数 0

回答已采纳

2回答

使用Django对SQLite执行原始SQL将导致“`DatabaseError: N近"?"：语法错误”

python、django、sqlite、django-1.3

: syntax error>>> cur.execute("DROP TABLE my_table")备注：根据文档，应该使用%s，而不是SQLite的? (Django将%s转换为?)

浏览 2提问于2012-04-05得票数 2

回答已采纳

3回答

当尝试参数化表名时，为什么会收到不正确的语法错误？

c#、sql

TableNameTruncate", tbTableName.Text);每当我运行应用程序时，我都会得到以下错误： @TableNameTruncate附近的不正确语法

浏览 9提问于2014-06-23得票数 0

回答已采纳

3回答

在c#中向SQL命令添加参数

c#、sql

reader.FieldCount.ToString());sqlConn.Close();提前感谢！我希望实现一个使用变量(由用户更改)的命令。所以我想要这样的东西：SELECT * FROM * a variable defined by the use *;。

浏览 3提问于2014-08-28得票数 1

回答已采纳

3回答

oracle异常:无效表名

java、oracle、servlets、jdbc

我使用JDBC连接到Servlets中的数据库(Oracle10)。 query = "select ?, columnName);mypstmt.setString(4, value);java.sql.SQLException: ORA-00903: inva

浏览 8提问于2013-07-11得票数 2

回答已采纳

7回答

我迷路了:这段ado.net代码出了什么问题？

c#、ado.net

好吧，我希望问题很清楚，代码是这样的： SqlCommand sc = new SqlCommandgetConnection(); sc.CommandText = sql

浏览 11提问于2010-06-24得票数 1

回答已采纳

4回答

在asp.net中的SQL查询中使用变量(C#)

c#、asp.net、sql

我有一个如下形式的SQL查询 + "WHERE " + searchTable 基本上，我要做的是从数据库的Actors表中获取某个特定的actor的信息。变量searchTab

浏览 0提问于2011-05-02得票数 6

3回答

在运行时动态选择表名的最佳方式是什么？

.net、mysql、sql-injection、parameterized

我正在使用MySQL连接器/Net，并且我想针对一个表编写一个查询，该表的名称将在运行时指定。这个例子是我想不到的(没有经过测试)：{ { }因为我不认

浏览 0提问于2010-01-16得票数 2

回答已采纳

3回答

添加参数问题

c#、ado.net、parameters

@name", con);SqlDataReader rd = cmd.ExecuteReader();必须声明表变量

浏览 4提问于2011-05-09得票数 4

回答已采纳

4回答

可以不使用表名而通过编码将数据插入到表中吗

c#、asp.net、sql-server-2005

我的问题是，在向表中插入数据时，我们通常通过代码编写以下代码当我们像这样从文本框中传递数据时，是否可以不使用表名直接插入到表中

浏览 2提问于2011-06-30得票数 0

2回答

如何在proc sql的SAS中将表作为参数值传递？

mysql、sql、sas、parameter-passing

我正在为多个数据集重新运行20行代码，其中唯一更改的行是表名。是否有将表名参数化以传递到代码中的方法？我已经找到了将列作为参数传递的示例，而不是整个表。下面是我要参数化TABLE_NAME的地方的一个例子。PROC SQL;FRO

浏览 4提问于2016-10-25得票数 1

回答已采纳

1回答

自动从mdb到sql* server*

c#、entity-framework、ms-access、dataset

目前，我正准备手工编写它(ugh)，我通过数据源读取access数据库，然后通过批量插入或实体框架将其输入sql server。我真的希望有更好的方法来做到这一点。我愿意接受很多有创意的方法，因为有很多表格和大量的数据。

浏览 1提问于2012-05-19得票数 2

回答已采纳

2回答

SQL查询中的参数化表名

sql、vb.net、parameterized

我正在使用Vb2005来访问SQL服务器。我有一个相当复杂的查询，它命中服务器上相同结构的数据库。我正在研究FROM子句的参数化，但似乎不能这么做。这就是我所尝试的 "FROM [@DB].[dbo].T.DepartTime >= CONVERT(DATETIME, 'S

浏览 0提问于2011-09-10得票数 2

1回答

创建通用Nifi流以实现可重用性

apache-nifi

我有一个nifi流，它从RDBMS (SQL Server)表中提取记录，并将这些记录放在HDFS上，采用拼接格式。此流程将在一天内运行几次，以从源表中获取增量记录。现在，我需要为100+不同的源表复制相同的过程。因此，不是为每个单独的表创建sql流，而是可以创建主流(比如说模板)，并将源提取100+、目标文件名等参数传递给主流，然后对每个源表重复这些步骤。我使用

浏览 0提问于2019-02-01得票数 1

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

.NET/SQL中的参数化表名？

相关·内容

@indexName附近语法不正确。脱衣舞

在.NET/SQL中参数化表名？

dapper可以替换表名吗？

如何在ODBC查询中参数化表名

Python pysqlite不接受我的qmark参数化

如何使用ADO查询参数指定表和字段名？

MySql.Data错误:您的SQL语法出现了错误；请检查与MySQL服务器版本对应的手册，以获得正确的语法。

使用Django对SQLite执行原始SQL将导致“`DatabaseError: N近"?"：语法错误”

当尝试参数化表名时，为什么会收到不正确的语法错误？

在c#中向SQL命令添加参数

oracle异常:无效表名

我迷路了:这段ado.net代码出了什么问题？

在asp.net中的SQL查询中使用变量(C#)

在运行时动态选择表名的最佳方式是什么？

添加参数问题

可以不使用表名而通过编码将数据插入到表中吗

如何在proc sql的SAS中将表作为参数值传递？

自动从mdb到sql* server*

SQL查询中的参数化表名

创建通用Nifi流以实现可重用性

扫码

相关资讯

热门标签

活动推荐

运营活动

社区

活动

资源

关于

腾讯云开发者

热门产品

热门推荐

更多推荐