SqlParameter не позволяет имя таблицы - другие варианты без атаки SQL инъекции?
Я получил сообщение об ошибке во время выполнения"Must declare the table variable "@parmTableName"
, То есть имя таблицы в качестве параметра sql в выражении sql не допускается.
Есть ли лучший вариант или предложение, чем разрешение атаки SQL инъекций? Я нея не хочу делать этот C # скрипт для оператора sql;" DELETE FROM " + tableName + " "
using(var dbCommand = dbConnection.CreateCommand())
{
sqlAsk = "";
sqlAsk += " DELETE FROM @parmTableName ";
sqlAsk += " WHERE ImportedFlag = 'F' ";
dbCommand.Parameters.Clear();
dbCommand.Parameters.AddWithValue("@parmTableName", tableName);
dbConnection.Open();
rowAffected = dbCommand.ExecuteNonQuery();
}