为什么在尝试截断MySQL表(使用MySQL Connector / Net)时会出现异常?我试图给表名带一个参数。
这是我正在执行的代码:
var connectionString = "Server="+_server+";Uid="+_user+";Pwd="+_password+";Database="+_database+";";
try
{
using (var conn = new MySqlConnection(connectionString))
{
conn.Open();
const string sql = "TRUNCATE TABLE @tablename"; // also tried with TRUNCATE @tablename
var cmd = new MySqlCommand(sql, conn);
cmd.Parameters.AddWithValue("@tablename", "test");
cmd.ExecuteNonQuery();
conn.Close();
}
}
catch (MySqlException ex)
{
Console.WriteLine(ex.ToString());
}
这就是执行:
MySql.Data.MySqlClient.MySqlException(0x80004005):您有错误 在你的SQ L语法中;查看与MySQL对应的手册 服务器版本,用于在第1行“test”附近使用正确的语法
例如,当我尝试选择查询时,我没有任何问题。这样运行正常并返回正确的数据:
conn.Open();
const string sql = "SELECT body FROM test WHERE id=@pid";
var cmd = new MySqlCommand(sql, conn);
cmd.Parameters.AddWithValue("@pid", 1);
cmd.ExecuteScalar();
conn.Close();
答案 0 :(得分:2)
参数用于查询值,而不是表格之类的对象名称。
所以这肯定不会起作用。
您需要使用字符串连接在命令字符串中设置表名。你可以通过手动检查表名中的奇怪字符(空格,破折号,分号等)来避免sql注入攻击。
答案 1 :(得分:0)
我已经玩了一段时间了,我似乎也无法让它工作。我在网上找不到任何文档,所以我开始认为你可能无法用你试过的参数截断。
但是,是否真的需要在此命令上阻止SQL注入?用户是否输入了他们想要截断的表的名称,如果是这样,他们只是要截断一个表...这本质上就是命令的作用?