我想知道如何在 C# 上通过 SqlCommand 传递表名和表字段名。
尝试通过将 SqlCommand 设置为 @ 符号来按照它完成的方式进行操作,但没有成功。有什么想法吗??
最佳答案
如果您担心 SQL 注入(inject),SqlCommandBuilder类(和其他 DB 特定版本的 DbCommandBuilder )有一个名为 QuoteIdentifier 的函数,可以正确转义您的表名。
var builder = new SqlCommandBuilder();
string escTableName = builder.QuoteIdentifier(tableName);
现在您可以在构建语句时使用转义值,而不必担心注入(inject) - 但您仍应为任何值使用参数。
关于c# - SqlParameter C# 上的表名和表字段?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3128582/