ошибка с параметрами SqlCe

Question

В свое время на этой прекрасной планете я сделал МНОГИЕ параметризованные запросы, и ни один из них не выдал ошибку, подобную этой ...Очевидно, что компилятору не нравится мой оператор SQL ... но я не вижу проблем ???

Вот мой код.

using (SqlCeConnection con = new SqlCeConnection(_connection))
{
    string sqlString = "SELECT @colID FROM @table WHERE @keyCol = @key";

    SqlCeCommand cmd = new SqlCeCommand(sqlString, con);
    cmd.Parameters.Add(new SqlCeParameter("@table", tableName));
    cmd.Parameters.Add(new SqlCeParameter("@colID", columnIdName));
    cmd.Parameters.Add(new SqlCeParameter("@keyCol", keyColumnName));
    cmd.Parameters.Add(new SqlCeParameter("@key", key));

    try
    {
        con.Open();
        return cmd.ExecuteScalar();
    }
    catch (Exception ex)
    {
        Console.Write(ex.Message);
        throw new System.InvalidOperationException("Invalid Read. Are You Sure The Record Exists", ex);
    }
    finally
    {
        if (con.State == ConnectionState.Open)
            con.Close();
        cmd.Dispose();
        GC.Collect();
    }
}

, как вы можете видеть, это ОЧЕНЬ простой SQLзаявление.Я хотя "@table" мог быть тупо зарезервирован или что-то в этом роде ... поэтому я попробовал @tableName, @var, @everything !!!Не знаю, в чем проблема.

Во время отладки я проверил, что в SqlCeParameterCollection действительно есть параметр @table, и он там был.Ясно, как день!

Answer 1

Поскольку вы находитесь в C # (в отличие от сохраненных процедур)

string sqlString = "SELECT " + columnIdName + 
" FROM " +tableName "WHERE " + keyColumnName + "= @key";

Вы захотите убедиться, что columnIdName, tableName, keyColumnName все ограничены списком значений (или, по крайней мере, ограничить длину, скажем, до 50 символов), в противном случае эта процедура оптимизирована для атак небезопасности и внедрения SQL. .

Answer 2

Это коснулось меня и на SqlCe. Но в Sql Server и в SqlExpress вы можете использовать паараметр для имени таблицы.