0 
Dim tbl as String = Request.QueryString("tb") 'tb value = User
Dim sql As String = "Select * From @table Where @Col = @ColVal"
Dim para As New SqlParameter
para.ParameterName = "table"
para.Value = tbl

Dim paraArray1 As New SqlParameter
paraArray1.ParameterName = "@Col"
paraArray1.Value = "Name"

Dim paraArray2 As New SqlParameter
paraArray2.ParameterName = "@ColVal"
paraArray2.Value = "Stephen"

当我尝试使用 DbDataAdapter 运行“sql”命令时,它给了我这个错误

必须声明表变量“@table”。说明:执行当前 Web 请求期间发生未处理的异常。请查看堆栈跟踪以获取有关错误及其源自代码的位置的更多信息。

异常详细信息:System.Data.SqlClient.SqlException:必须声明表变量“@table”。

请建议我应该怎么做才能以给定的表名作为参数运行 sql 并避免 sql 注入。非常感谢!

4

3 回答 3

2

参数与存储过程有关,不能在内联查询中指定。您需要连接查询中的参数。

为避免 SQL 注入,最好的方法是使用存储过程,但如果您需要使用内联查询,请在进行内联查询之前检查值。

于 2012-06-07T07:31:44.117 回答
0

正确写入表的参数名称..

para.ParameterName = "@table"

以某种方式使用SqlParameter避免 Sql 注入,因为参数永远不会直接插入到语句中.....

于 2012-06-07T07:05:52.403 回答
0

参数仅对值有效。更改 SQL 字符串:

Dim sql As String = String.Format("Select * From {0} Where {1} = @ColVal",tableName,ColName)
于 2012-06-07T07:06:17.960 回答