C＃SQLクエリテーブルパラメータを選択

Question

2つの異なるテーブルを使用して、変数からテーブル名が割り当てられているテーブルから選択しようとしています。ただし、DB2Exceptionエラーが発生します。

db2Error = {"ERROR [42601] [IBM][AS] SQL0104N An unexpected token \"'TABLENAME'\" was found following \"\". 

このクエリはエラーを引き起こすものである - テーブル名は、テーブルの名前を持つ文字列です。

string strUpdate = "SELECT COMMENT FROM '" + tableName + "' WHERE NUMBER = '" + strNumber + "' AND CODE = '" + c.Trim() + "' "; 

このクエリは、しかし正常に動作します -

// string strUpdate = "SELECT COMMENT FROM TABLE WHERE NUMBER = '" + strNumber + "' AND CODE = '" + c.Trim() + "'"; 

は、テーブル名に変数を使用/ parametriseすることは可能ですか？

Answer 1

SQLインジェクションのリスクはさておき、単に同じではありません2つのに示すクエリ。

あなたが示したクエリが

string strUpdate = "SELECT COMMENT FROM TABLE WHERE NUMBER = "など

あるしかし、あなたが示したコードは、次のクエリを生成します。

string strUpdate = "SELECT COMMENT FROM 'TABLE' WHERE NUMBER = "など

テーブル名だけではないはず引用符で囲みます。あなたがパラメータを使用していないという事実を考えれば、これはパラメータシステムの欠陥でさえありません。引用符は、独自のクエリ構築コードの中にあります。削除するだけです。

Answer 2

なぜfrom文でqoutesを使用していますか？

select sysdate 
from dual; 

また、SqlCommandクラスを使用して、次のように選択ステートメントにパラメータを追加します。

string strUpdate = "SELECT COMMENT FROM @tablename WHERE NUMBER = @strnumber AND CODE = @c"; 
SqlCommand insertCommand = new SqlCommand(strUpdate , connection); 
insertCommand.Parameters.AddWithValue("@tableName ", tableName); 
insertCommand.Parameters.AddWithValue("@strNumber ", strNumber); 
insertCommand.Parameters.AddWithValue("@c", c.trim());