SqlParameter nie pozwala na nazwę tabeli - inne opcje bez ataku wtrysku sql?
Mam komunikat o błędzie w czasie wykonywania"Must declare the table variable "@parmTableName"
. Znaczenie posiadania nazwy tabeli jako parametru sql w instrukcji sql jest niedozwolone.
Czy istnieje lepsza opcja lub sugestia niż zezwolenie na atak SQL? Nie chcę robić tego skryptu C # dla instrukcji sql" DELETE FROM " + tableName + " "
;
using(var dbCommand = dbConnection.CreateCommand())
{
sqlAsk = "";
sqlAsk += " DELETE FROM @parmTableName ";
sqlAsk += " WHERE ImportedFlag = 'F' ";
dbCommand.Parameters.Clear();
dbCommand.Parameters.AddWithValue("@parmTableName", tableName);
dbConnection.Open();
rowAffected = dbCommand.ExecuteNonQuery();
}