SqlParameter não permite nome da tabela - outras opções sem ataque de injeção de sql?
Eu tenho um erro de tempo de execução dizendo"Must declare the table variable "@parmTableName"
. O significado de ter o nome da tabela como o parâmetro sql na instrução sql não é permitido.
Existe uma opção ou sugestão melhor do que permitir o ataque de injeção SQL? Eu não quero fazer este script c # para a instrução sql" DELETE FROM " + tableName + " "
;
using(var dbCommand = dbConnection.CreateCommand())
{
sqlAsk = "";
sqlAsk += " DELETE FROM @parmTableName ";
sqlAsk += " WHERE ImportedFlag = 'F' ";
dbCommand.Parameters.Clear();
dbCommand.Parameters.AddWithValue("@parmTableName", tableName);
dbConnection.Open();
rowAffected = dbCommand.ExecuteNonQuery();
}