Dim tbl as String = Request.QueryString("tb") 'tb value = User
Dim sql As String = "Select * From @table Where @Col = @ColVal"
Dim para As New SqlParameter
para.ParameterName = "table"
para.Value = tbl
Dim paraArray1 As New SqlParameter
paraArray1.ParameterName = "@Col"
paraArray1.Value = "Name"
Dim paraArray2 As New SqlParameter
paraArray2.ParameterName = "@ColVal"
paraArray2.Value = "Stephen"
当我尝试使用DbDataAdapter的运行“SQL”命令运行查询,它给了我这个错误与表名称参数
必须声明表变量“@table”。说明:执行当前Web请求期间发生未处理的 异常。 请查看堆栈跟踪以了解有关该错误的更多信息,以及源自代码的 。
异常详细信息:System.Data.SqlClient.SqlException:必须声明 表变量“@table”。
请指教我该怎么做,以给定表名作为参数运行sql,并避免sql注入。非常感谢!表正确的
我试过这个,但它仍然不起作用。 –