我正在尝试使用带参数的SqlCommand更改表中某列的数据类型,但它不起作用。 这是我的代码:
Dictionary<string,string> dict = new Dictionary<string,string>();
dict.Add("@TableName",TableColumnArray[0].ToString( ));
dict.Add("@ColumnName",TableColumnArray[1].ToString( ));
DBSql.ExecSQLStatement( "ALTER TABLE @TableName ALTER COLUMN @ColumnName varchar(MAX)",dict,connectionStringName);
public static void ExecSQLStatement (string strsql,Dictionary<string,string> dict,string connectionStringName)
{
SqlConnection con = CreateSqlConnectionStr(connectionStringName);
SqlCommand cmd = new SqlCommand(strsql,con);
foreach(string dictKey in dict.Keys)
{
cmd.Parameters.Add(new SqlParameter(dictKey,dict[dictKey]));
}
con.Open( );
cmd.ExecuteNonQuery( );
con.Close( );
}
但代码不断抛出错误:“@TableName附近的语法不正确”。我找不到解决这个问题的方法。我可以尝试使用存储过程,但我真的想知道为什么代码不起作用。我通常使用带有select,insert语句参数的SqlCommand,但它似乎不适用于alter语句?
答案 0 :(得分:5)
因为默认情况下,tableName和列名称不能参数化。避免sql注入的一种方法是创建一个用户定义函数来检查tableName是否有效。然后在字符串上连接名称。例如,
这是UDF
private bool IsValidColumnNameOrTableName(string tablecolumnName)
{
// other codes
return returnValue;
}
答案 1 :(得分:1)
您不能在DDL语句中使用参数。您应该动态创建语句字符串:
DBSql.ExecSQLStatement(
"ALTER TABLE " + TableColumnArray[0] + " ALTER COLUMN " + TableColumnArray[1] + " varchar(MAX)",
dict,connectionStringName);
答案 2 :(得分:0)
您需要准确指定表名和列名:
"ALTER TABLE " + TableColumnArray[0].ToString( ) + " ALTER COLUMN " + TableColumnArray[1].ToString( ) + "varchar(MAX)"
sql server不允许表名和列名是变量值的语法