SQL 表参数

Question

为什么 SQL Server 中不允许使用表参数？有什么办法解决这个问题吗？

示例：

using (SqlCommand myCommand = new SqlCommand("SELECT * FROM @table WHERE USERNAME=@username AND PASSWORD=HASHBYTES('SHA1',
 @password)", myConnection))
    {
        myCommand.Parameters.AddWithValue("@table", table);
        myCommand.Parameters.AddWithValue("@username", user);
        myCommand.Parameters.AddWithValue("@password", pass);

        myConnection.Open();
        SqlDataReader myReader = myCommand.ExecuteReader())
        ...................
    }

谢谢。

Answer 1

您无法对 SQL 的该部分进行参数化。服务器需要知道表的名称才能“准备”查询，这是在处理参数之前完成的。

您可以动态生成查询，但这可能会让您面临 SQL 注入攻击和运行时 SQL 语法错误。此外，如果服务器可以缓存 SQL 语句，则可以节省费用 - 如果每个查询都是动态生成的，那么您将失去这一点。

Answer 2

为什么？因为与它在查询优化和验证中造成的噩梦相比，灵活性的好处很小。

作为旁注，即使它被识别，您也会在 SQL 中得到带引号的字符串，而不仅仅是表名。具有严格验证的动态 SQL 是实现此目的的唯一真正方法。

Answer 3

如果您必须传递值表...

• XML 参数
• CSV（字符串）参数
• 在 SQL 中解析。请参阅“SQL Server 2005 中的数组和列表”，

否则，什么是你想做什么？

编辑：我现在已经明白了。正如其他人提到的，SQL 并不是这样工作的。

Answer 4

不，您不能将表名称作为参数传递。

最好的方法是尝试使用 String.Format 作为表名。

Answer 5

我会尝试用一个例子来说明我对此的观点：

如果你去买一辆车，你可以“参数化”一些想法：你可以改变颜色，可能是引擎的一些变化，你可以放一个MP3或不，...但你不能改变汽车型号。如果你改变汽车型号，这不是一个参数，这是另一辆车。

与sql查询相同，表不是参数而是句子本身的一部分，与命令相同（select，update）..所以你不能从@table执行@command。如果换个表，这就是另外一句话了，就像汽车一样。

（这不是对您的问题的技术“因为”答案，而是概念性的观点，以便更好地理解其他人发布的技术部分）

我的两分钱。