Nie można bezpośrednio sparametryzować nazwy tabeli. Możesz to zrobić pośrednio przez sp_ExecuteSQL , ale równie dobrze możesz zbudować (sparametryzowany) TSQL w C# (łącząc nazwę tabeli, ale nie inne wartości) i wysłać go jako polecenie. Otrzymujesz ten sam model bezpieczeństwa (tj. potrzebujesz wyraźnego SELECT itp., i zakładając, że nie jest podpisany itp.).
Również - pamiętaj, aby umieścić na białej liście nazwę tabeli.
W jakiej kolumnie należy umieścić indeks klastrowy?
Jak naprawić „Procedura oczekuje parametru „@statement” typu „ntext/nchar/nvarchar”. Błąd w SQL Server
Preferowana metoda przechowywania haseł w bazie danych
Napraw komunikat o błędzie 4151 „Typ pierwszego argumentu do wartości NULLIF nie może być stałą NULL, ponieważ typ pierwszego argumentu musi być znany” w programie SQL Server
Jak uzyskać identyfikator Insert w MSSQL w PHP?
