有没有办法使用变量选择数据库表？答案

【问题标题】：Is there a way to SELECT a database table using a variable?有没有办法使用变量选择数据库表？
【发布时间】：2021-09-06 21:44:52
【问题描述】：

我试过这个说法：

string query = "SELECT question FROM '" + GlobalVariables.dbQCode + "' WHERE [question_code] = '" + GlobalVariables.questionCode + "' ";

当我运行代码时，它给了我一个异常：

查询中有语法错误。查询子句不完整。

有没有办法可以使用我的变量？我希望它工作，因为我希望这段代码也能工作：

if (comboBox1.Text == "General Education"){
                GlobalVariables.subjectCode = "GenEd_English";
                GlobalVariables.dbQCode = "Gen_Ed_Question_Items";
                GlobalVariables.dbCCode = "Gen_Ed_Choice_Bank";
                if (comboBox2.Text == "English")
                {
                    GlobalVariables.subjectName = "ENGLISH";
                }
                
}

【问题讨论】：

What are good ways to prevent SQL injection? • SqlCommand Parameters Add vs. AddWithValue
FROM " + GlobalVariables.dbQCode + " WHERE 或 FROM [" + GlobalVariables.dbQCode + "]?
哦，是的，那行得通，非常感谢，对不起，我是 SQL 语句的新手。谢谢！
@tenkyu 尤其是当您是新手时，仔细阅读 Oliviers 链接非常很重要。现在学习如何正确操作，而不是几年后调试安全漏洞。
@RandRandom SQL 参数不能用于表名，据我所知：SqlParameter does not allows Table name - other options without sql injection attack? 和 Table name and table field on SqlParameter C#?

标签： c# sql database ms-access

【解决方案1】：

单引号 (') 表示字符串文字。对象名称，例如表名称，应该不用引号括起来：

string query = "SELECT question FROM " + GlobalVariables.dbQCode + " WHERE [question_code] = '" + GlobalVariables.questionCode + "' ";
// Quotes removed here --------------^-----------------------------^

【讨论】：