4

我在这个可爱的星球上进行了许多参数化查询,但没有人抛出这样的错误...... WTFudge ?!?!

错误:

There was an error parsing the query. [
Token line number = 1,
Token line offset = 20,
Token in error = @table ]

显然编译器不喜欢我的 SQL 语句……但我看没问题???

这是我的代码。

using (SqlCeConnection con = new SqlCeConnection(_connection))
{
    string sqlString = "SELECT @colID FROM @table WHERE @keyCol = @key";

    SqlCeCommand cmd = new SqlCeCommand(sqlString, con);
    cmd.Parameters.Add(new SqlCeParameter("@table", tableName));
    cmd.Parameters.Add(new SqlCeParameter("@colID", columnIdName));
    cmd.Parameters.Add(new SqlCeParameter("@keyCol", keyColumnName));
    cmd.Parameters.Add(new SqlCeParameter("@key", key));

    try
    {
        con.Open();
        return cmd.ExecuteScalar();
    }
    catch (Exception ex)
    {
        Console.Write(ex.Message);
        throw new System.InvalidOperationException("Invalid Read. Are You Sure The Record Exists", ex);
    }
    finally
    {
        if (con.State == ConnectionState.Open)
            con.Close();
        cmd.Dispose();
        GC.Collect();
    }
}

正如你所看到的,它是一个非常简单的 SQL 语句。我虽然“@table”可能被愚蠢地保留了或什么......所以我尝试了@tableName,@var,@everything!不知道是什么问题。

在调试期间,我检查了 SqlCeParameterCollection 中实际上有一个 @table 参数并且它就在那里。清如白昼!!

图片:调试信息

4

2 回答 2

4

由于您在 C# 中(而不是存储过程)

string sqlString = "SELECT " + columnIdName + 
" FROM " +tableName "WHERE " + keyColumnName + "= @key";

您需要验证 columnIdName、tableName、keyColumnName 是否都被限制为一个值列表(或者至少将长度限制为 50 个字符),否则此过程针对不安全和 sql 注入攻击进行了优化。

于 2011-07-27T15:50:12.573 回答
1

这在 SqlCe 上也影响了我。但在 Sql Server 和 SqlExpress 中,您可以使用表名参数。

于 2012-02-10T16:11:22.600 回答