【发布时间】:2012-12-17 13:45:17
【问题描述】:
我有一个到数据库的 ODBC 连接,我希望用户能够查看任何表中的数据。由于这是一个 ASP.net 应用程序,我不能相信发送的表名也不包含 nasties。我曾尝试使用参数化查询,但我总是收到一条错误消息,提示我“必须声明表变量”——这似乎是个问题,因为它是表名
string sql = "SELECT TOP 10 * FROM ? ";
OdbcCommand command = new OdbcCommand(sql, dbConnection);
command.Parameters.Add(new OdbcParameter("@table", tableName));
OdbcDataAdapter adapter = new OdbcDataAdapter();
adapter.SelectCommand = command;
adapter.Fill(tableData);
以安全的方式实现这一目标的最佳方法是什么?
【问题讨论】:
标签: c# asp.net sql-server odbc