使用OleDbCommand
。我可以添加SQL参数,从而保持该查询从SQL注入安全的,但有一种方法来FROM
cluase.See内做到这一点下面FROM子句中的参数化SQL
这个作品
query = "Select * From Company Where @param = 1";
OleDbCommand Command = new OleDbCommand(query, sqlConnStr);
DataTable Table = new DataTable();
DataSet dataSet = new DataSet();
Table = null;
//Add Parameters
Command.Parameters.AddWithValue("param", "ID");
Command.ExecuteNonQuery();
adapter.SelectCommand = Command;
adapter.Fill(dataSet);
Table = dataSet.Tables[0];
它返回一个不错的与妙行表其中id = 1
但
我期待这样的事情,请注意from子句
query = "Select * From @tableName Where @param = 1";
OleDbCommand Command = new OleDbCommand(query, sqlConnStr);
DataTable Table = new DataTable();
DataSet dataSet = new DataSet();
Table = null;
//Add Parameters
Command.Parameters.AddWithValue("param", "ID");
Command.Parameters.AddWithValue("tableName", "Company");
Command.ExecuteNonQuery();
adapter.SelectCommand = Command;
adapter.Fill(dataSet);
Table = dataSet.Tables[0];
的DBMS保持与"Error in From clause"
PS一切返回拼写正确 - 我三重检查
要全部 - 谢谢,但我唉应当坚持公正参数化SQL。我不喜欢Dynamic SQL
一位
根据微软的OleDbCommand甚至不支持命名Paramters http://msdn.microsoft.com/en-us/library/system.data.oledb.oledbcommand.parameters。 aspx但顶级代码摘录正常工作 –