SqlCe参数出错

时间:2011-07-27 10:48:24

标签: c# asp.net visual-studio-2010 sql-server-ce parameterized-query

我在这个可爱的星球上做了很多参数化查询,没有人抛出这样的错误...... WTFudge?!?!

ERROR:

There was an error parsing the query. [
Token line number = 1,
Token line offset = 20,
Token in error = @table ]

显然编译器不喜欢我的SQL语句......但我认为没有问题???

这是我的代码。

using (SqlCeConnection con = new SqlCeConnection(_connection))
{
    string sqlString = "SELECT @colID FROM @table WHERE @keyCol = @key";

    SqlCeCommand cmd = new SqlCeCommand(sqlString, con);
    cmd.Parameters.Add(new SqlCeParameter("@table", tableName));
    cmd.Parameters.Add(new SqlCeParameter("@colID", columnIdName));
    cmd.Parameters.Add(new SqlCeParameter("@keyCol", keyColumnName));
    cmd.Parameters.Add(new SqlCeParameter("@key", key));

    try
    {
        con.Open();
        return cmd.ExecuteScalar();
    }
    catch (Exception ex)
    {
        Console.Write(ex.Message);
        throw new System.InvalidOperationException("Invalid Read. Are You Sure The Record Exists", ex);
    }
    finally
    {
        if (con.State == ConnectionState.Open)
            con.Close();
        cmd.Dispose();
        GC.Collect();
    }
}

你可以看到它非常简单的SQL语句。我虽然“@table”可能是愚蠢的保留或者其他东西......所以我试过@tableName,@ var,@ everyvery !!!不知道问题是什么。

在调试期间,我检查了SqlCeParameterCollection中实际上有一个@table参数,它就在那里。清除一天!!

Image: Debug Information

2 个答案:

答案 0 :(得分:4)

因为你在C#中(而不是存储过程)

string sqlString = "SELECT " + columnIdName + 
" FROM " +tableName "WHERE " + keyColumnName + "= @key";

您需要验证columnIdName,tableName,keyColumnName是否全部限制为值列表(或者至少将长度限制为50个字符),否则此过程针对不安全性和SQL注入攻击进行了优化

答案 1 :(得分:1)

这也影响了我对SqlCe的看法。但是在Sql Server和SqlExpress中,您可以使用参数来表名。

相关问题
最新问题