c# - Sql 参数没有被替换

Question

我正在尝试基于 csv 文件在我的数据库中创建一个新表。因为我不知道 csv 文件中有哪些列，所以我在运行时创建了一个 SqlCommand 。这是我到目前为止所拥有的。

public static void AddTableFromFile(string file)
{
    DefaultContext dbContext = DefaultContext.GetInstance();
    DbProviderFactory dbFactory = DbProviderFactories.GetFactory(dbContext.Database.Connection);

    SqlCommand createTable = new SqlCommand();
    createTable.Connection = (SqlConnection)dbContext.Database.Connection;

    //Get all the fields from the file.
    TextReader reader = File.OpenText(file);
    string head = reader.ReadLine();
    reader.Close();
    head = head.Replace('\"', ' ');

    //Build the column paramaters for the Sql query.
    string[] fields = head.Split(',');
    if (fields.Length == 0)
        throw new Exception("No data to process; " + file);
    StringBuilder columnsBuilder = new StringBuilder();
    for (int i = 0; i < fields.Count(); i++)
    {
         columnsBuilder.Append("@column" + i + " char(25), ");
         createTable.Parameters.AddWithValue("@column" + i, fields[i]);
    }
    //Make the first field the primary key.
    columnsBuilder.Append("PRIMARY KEY(@column0)");

    createTable.Parameters.AddWithValue("@tableName", Path.GetFileNameWithoutExtension(file));

    createTable.CommandText = "CREATE TABLE @tableName (" + columnsBuilder.ToString() + ")";

    dbContext.Database.Connection.Open();
    createTable.ExecuteNonQuery();
    dbContext.Database.Connection.Close();

    DefaultContext.Release();
    Logger.Log("Table " + Path.GetFileNameWithoutExtension(file) + " added to the database.");
}

但是，每次运行时，我都会收到一个 SqlException，告诉我@tableName 周围存在语法错误。我通过将原始值放入字符串中尝试了相同的命令，所以我知道它有效。我在这里遗漏了一些明显的东西吗？

以防万一，我正在使用 MVC 4，我相信数据库是 Sql Server Express 或与 Visual Studio 2012 捆绑的任何一个。

Answer 1

我在这里遗漏了一些明显的东西吗？

不幸的是，我认为你错过了一些不受支持的东西。虽然值可以参数化，但据我所知，大多数数据库（包括 SQL 服务器）不允许对表名甚至字段名进行参数化。

所以基本上，如果你真的需要能够接受字段等作为用户输入，你需要完成所有工作，对接受的字符非常小心，转义值等 - 然后直接将其放入 SQL .

Answer 2

您不能使用参数作为表名。您可以使用它来比较值，例如

WHERE UserName = @UserName

如果您害怕 SQL 注入，请使用 classic .Replace("'","''")。