Sqlserver
 sql >> Datenbank >  >> RDS >> Sqlserver

Tabellenname in .NET/SQL parametrieren?

Sie können den Tabellennamen nicht direkt parametrisieren. Sie können dies indirekt über sp_ExecuteSQL tun , aber Sie können die (parametrisierte) TSQL genauso gut in C# erstellen (Verkettung des Tabellennamens, aber nicht der anderen Werte) und als Befehl senden. Sie erhalten dasselbe Sicherheitsmodell (d. h. Sie benötigen explizites SELECT usw. und vorausgesetzt, es ist nicht signiert usw.).

Stellen Sie außerdem sicher, dass Sie den Tabellennamen auf die weiße Liste setzen.