C＃SQL选择查询表参数

Question

我想从表中选择一个表，从一个变量中指定表名，如同使用两个不同的表一样。但是它出现了一个DB2Exception错误。

db2Error = {"ERROR [42601] [IBM][AS] SQL0104N An unexpected token \"'TABLENAME'\" was found following \"\". 

此查询这将导致错误的一个 - 表名是具有表的名称的字符串。

string strUpdate = "SELECT COMMENT FROM '" + tableName + "' WHERE NUMBER = '" + strNumber + "' AND CODE = '" + c.Trim() + "' "; 

此查询工作正常，但 -

// string strUpdate = "SELECT COMMENT FROM TABLE WHERE NUMBER = '" + strNumber + "' AND CODE = '" + c.Trim() + "'"; 

是否有可能parametrise /使用变量表名？

Answer 1

SQL注入风险不谈，显示了两个查询是根本就不是同。

您显示的查询是

string strUpdate = "SELECT COMMENT FROM TABLE WHERE NUMBER = "等

然而，代码你表现产生以下查询：

string strUpdate = "SELECT COMMENT FROM 'TABLE' WHERE NUMBER = "等

表名应该简单地不在引号中。考虑到你不使用参数，这甚至不是参数系统的错;引号就在你自己的查询构造代码中。只要删除它们。

Answer 2

为什么你在声明中使用qoutes？它应该只是简单地

select sysdate 
from dual; 

还可以使用SqlCommand类在你selectstatement添加参数如下。

string strUpdate = "SELECT COMMENT FROM @tablename WHERE NUMBER = @strnumber AND CODE = @c"; 
SqlCommand insertCommand = new SqlCommand(strUpdate , connection); 
insertCommand.Parameters.AddWithValue("@tableName ", tableName); 
insertCommand.Parameters.AddWithValue("@strNumber ", strNumber); 
insertCommand.Parameters.AddWithValue("@c", c.trim());