我有一个存储过程来在SQL Server数据库中创建表。我需要从C#调用这个存储过程。我得到了一个例外
@TABLENAME附近的语法不正确
我该如何解决这个问题?我有一个xml文件中的表名和列列表。
存储过程:
CREATE PROCEDURE PROC_CREATE_SFCOM_TABLE2
@TABLENAME VARCHAR(4000) ,
@COLUMNLIST VARCHAR(4000) ,
@ERRORMSG VARCHAR(4000) OUTPUT
AS
BEGIN
SET NOCOUNT ON
DECLARE @EXEC_IMMEDIATE_VAR VARCHAR (4000)
SELECT @EXEC_IMMEDIATE_VAR = 'CREATE TABLE @TABLENAME@COLUMNLIST '
EXECUTE (@EXEC_IMMEDIATE_VAR)
END
GO
C#代码:
using (SqlConnection conn = new SqlConnection(connstring)
{
using (SqlCommand cmd = new SqlCommand("dbo.PROC_CREATE_SFCOM_TABLE2",conn))
{
cmd.CommandType = CommandType.StoredProcedure;
createScript = "("+columnScript+")";
if (tableTableSpace != null)
{
if (tableTableSpace != "" || tableTableSpace != string.Empty)
{
createScript += "TABLESPACE " + tableTableSpace;
}
}
SqlParameter parameter = new SqlParameter("@TableName",SqlDbType.NVarChar);
parameter.Direction = ParameterDirection.Input;
parameter.Value = tableName;
cmd.Parameters.Add(parameter);
SqlParameter parameter2 = new SqlParameter("@COLUMNLIST",SqlDbType.NVarChar);
parameter2.Direction = ParameterDirection.Input;
parameter2.Value = createScript;
cmd.Parameters.Add(parameter2);
SqlParameter parameter3 = new SqlParameter("@ErrorMsg", SqlDbType.NVarChar);
parameter3.Direction = ParameterDirection.Output;
parameter3.Size = 4000;
cmd.Parameters.Add(parameter3);
conn.Open();
cmd.ExecuteNonQuery();
string errorMsg = parameter3.Value.ToString();
if (errorMsg != string.Empty)
LogInfo("Error: " + errorMsg);
答案 0 :(得分:3)
您无法参数化您的表名或列名。您只能参数化您的值。唯一的办法就是执行动态sql。
但是如果你想创建一个动态表,你应该有一个非常强大的验证。例如,为此创建一个白名单。
在您这样做之前,请阅读:The Curse and Blessings of Dynamic SQL
答案 1 :(得分:2)
您没有正确创建动态SQL字符串。把它改成这个......
CREATE PROCEDURE PROC_CREATE_SFCOM_TABLE2
@TABLENAME VARCHAR(4000) ,
@COLUMNLIST VARCHAR(4000) ,
@ERRORMSG VARCHAR(4000) OUTPUT
AS
BEGIN
SET NOCOUNT ON
DECLARE @EXEC_IMMEDIATE_VAR VARCHAR (4000)
SELECT @EXEC_IMMEDIATE_VAR = 'CREATE TABLE [' + @TABLENAME + '] ' + @COLUMNLIST
EXECUTE (@EXEC_IMMEDIATE_VAR)
END
GO
但请注意,这是一件非常危险的事情。 @COLUMNLIST可以包含任何内容,包括可用于SQL注入攻击的其他SQL命令