Необходимо объявить переменную таблицы @table

Question

Необходимо объявить переменную таблицы @table

Я новичок в C# и SQL, у меня есть этот оператор SQL insert, который я хочу выполнить. Он запрашивает имя таблицы среди других переменных, которые я хочу вставить.

но когда я запускаю это консольное приложение, я получаю эту ошибку:

необходимо объявить переменную таблицы @table

Это часть кода :

StreamReader my_reader =  getFile(args);
string CS = formCS();
try
{
    using (SqlConnection con = new SqlConnection(CS))
    {
        SqlCommand com = new SqlCommand("insert into @table (time, date, pin) values (@time, @date, @pin)", con);                    
        con.Open();
        Console.WriteLine("Enter table name:");
        Console.Write(">> ");
        string tblname = Console.ReadLine();
        com.Parameters.AddWithValue("@table", tblname);

        string line = "";
        int count = 0;
        while ((line = my_reader.ReadLine()) != null)
        {
            Dictionary<string, string> result = extractData(line);                        
            com.Parameters.AddWithValue("@time", result["regTime"]);
            com.Parameters.AddWithValue("@date", result["regDate"]);
            com.Parameters.AddWithValue("@pin", result["regPin"]);
            count += com.ExecuteNonQuery();
            com.Parameters.Clear();                        

        }
        Console.WriteLine("Recoreds added : {0}", count.ToString());
        Console.WriteLine("Press Enter to exit.");
    }
    Console.ReadLine();
}
catch (SqlException ex)
{
    Console.WriteLine(ex.Message);
}
catch (Exception ex)
{
    Console.WriteLine(ex.Message);                
}

7

c# console-application sql

автор: Rafael Adel

3 ответов

автор: Mahmoud Gamal · Accepted Answer · 2012-12-22 13:37:05

вы не можете этого сделать. Вы не можете передать имя таблицы в качестве параметра так, как вы это сделали:

SqlCommand com = new SqlCommand("insert into @table ...");
...
com.Parameters.AddWithValue("@table", tblname);

вы можете сделать это вместо этого:

Console.WriteLine("Enter table name:");
Console.Write(">> ");
string tblname = Console.ReadLine();

string sql = String.Format("insert into {0} (time, date, pin) values ... ", tblname);

SqlCommand com = new SqlCommand(sql, con);                    

...

автор: user1888014 · Accepted Answer · 2012-12-22 13:44:20

имя таблицы не может быть входным параметром в SQL-запросе. Однако вы всегда можете "подготовить строку sql перед передачей ее в SqlCommand следующим образом:

var sqlString = string.Format("insert into {0} (time, date, pin) values (@time, @date, @pin)", tblname)

а то

SqlCommand com = new SqlCommand(sqlString);
...

автор: Michał B · Accepted Answer · 2016-06-06 10:00:42

попробуйте это...

string tblname = "; DROP TABLE users;";
var sqlString = string.Format("insert into {0} (time, date, pin) values (@time, @date, @pin)", tblname)

https://en.wikipedia.org/wiki/SQL_injection