我正在尝试通过SqlCommand将表名作为参数传递给我的查询,但似乎并没有起作用。以下是我的代码:
SqlConnection con = new SqlConnection( "server=.;user=sa;password=12345;database=employee" );
con.Open( );
SqlCommand cmd = new SqlCommand( "drop table @tbName" , con );
cmd.Parameters.AddWithValue( "@tbName" , "SampleTable" );
cmd.ExecuteNonQuery( );
con.Close( );
SqlCommand.Parameters仅支持数据操作语言操作,而不支持数据定义语言操作。
即使您使用DML,也无法为表名或列名等参数化。 您只能为值参数化。
数据操作语言 =
SELECT ... FROM ... WHERE ...
INSERT INTO ... VALUES ...
UPDATE ... SET ... WHERE ...
DELETE FROM ... WHERE ...
数据定义语言 =
CREATE TABLE ...
DROP TABLE ... ;
ALTER TABLE ... ADD ... INTEGER;
DROP 语句。SqlCommand 上使用字符串连接。 (注意SQL注入)您可能需要查看术语动态SQL。using 语句 处理您的 SqlConnection 和 SqlCommand,如下所示;using(SqlConnection con = new SqlConnection(ConnectionString))
using(SqlCommand cmd = con.CreateCommand())
{
cmd.CommandText = "drop table " + "SampleTable";
con.Open()
cmd.ExecuteNonQuery();
}
用户Soner Gönül指出它为什么不工作,但是您可以自己编写存储过程。
CREATE PROCEDURE dbo.procdroptable
@TABLENAME SYSNAME
AS
BEGIN
SET NOCOUNT ON;
DECLARE @SQL NVARCHAR(MAX)
SELECT @SQL = 'DROP TABLE dbo.' + QUOTENAME(@TABLENAME) + '';
EXEC sp_executesql @SQL;
END
GO
以下是来自这篇问题的代码。