我迷路了：这个 ado.net 代码有什么问题？

Question

好吧，我希望问题很清楚，代码是这样的：

string sql = "delete from @tabelnaam";
            SqlCommand sc = new SqlCommand();

                sc.Connection = getConnection();
                sc.CommandType = CommandType.Text;
                sc.CommandText = sql;
                SqlParameter param = new SqlParameter();

                param.Direction = ParameterDirection.Input;
                param.ParameterName = "@tabelnaam";
                param.Value  = tableName;

                sc.Parameters.Add(param);
                OpenConnection(sc);
                sc.ExecuteScalar();

tableName 被提供给这个函数。

我得到了例外：

Must declare the table variable @tabelnaam

Answer 1

IIRC，你不能用表名代替参数。

而是构建包含正确表名的 SQL 字符串。

Answer 2

做出改变

而不是使用参数使用这个

string sql = string.format( "delete from {0}",tableName);

使用 executenonquery 而不是 ExecuteScalar

sc.ExecuteNonQuery();

Answer 3

正如其他人所说，您不能参数化表名。

但是，正如您在 cmets 的其他答案中正确提到的那样，使用简单的字符串操作可能会引入 SQL 注入风险：

如果您的表名输入来自不受信任的来源，例如用户输入，则使用此：

string sql = string.format( "DELETE FROM {0}",tableName);

让您打开正在插入的表名“myTable; DROP DATABASE MyDb”，给您：

DELETE FROM myDb; DROP DATABASE MyDB

解决这个问题的方法是对表名进行分隔，如下所示：

string sql = string.format("DELETE FROM dbo.[{0}]", tableName);

结合检查输入不包含'['或']'；您可能应该检查它是否不包含任何其他不能用作表名的字符，例如句点和引号。

Answer 4

我不认为你可以参数化表名。根据我的阅读，您可以通过动态 sql 并调用 sp_ExecuteSQL 来完成。

Answer 5

您的 SQL 不正确，您正在从表变量中删除但尚未定义该变量。

更新：正如有人指出的那样，您正在尝试动态构建查询字符串，但无意中使用了 SQL 参数（这些参数不能用作字符串文字的占位符）。

Answer 6

更多： Parameterise table name in .NET/SQL?

Answer 7

你不能参数化表名，你必须将它注入到命令文本中。

您可以并且应该做的是通过这样分隔名称来保护自己免受 SQL 注入：

public static string Delimit(string name) {
    return "[" + name.Replace("]", "]]") + "]";
}

// Construct the command...
sc.CommandType = CommandType.Text;
sc.CommandText = "delete from " + Delimit(tableName);
sc.ExecuteNonQuery();

有关更多背景信息，请参阅 here 和 here。