Hej! Nej det kan du inte. SQL stödjer inte denna typ av parametrar = "by-design" Men varför får jag inget fel vid exekvering? Man kan inte göra det för att SQL Server stödjer inte det. Räcker inte det? Du kan inte göra så, för att det inte stöds. Och anledningen att du inte får något fel är att sätta t.ex "1 = 1" är en helt giltig syntax i SQL. Tack för svaret, dock tycker jag det är lustigt att @kolumn ersattes eller glömdes bort utan att man fick ett fel framkallat. Rickard,SqlCommand.SqlParameters
Kan inte Sqlparameter användas även för kolumn-namn ? Isånafall varför inte ?
När jag kör detta får jag INGEN förändring i databasen men ej heller något fel
genereras.
ex:
<code>
Dim sSql As String = "UPDATE tblProjNotes SET @kolumn = @varde WHERE intProjNoteID = @theid"
Dim sqlcmd As SqlClient.SqlCommand = New SqlClient.SqlCommand("", loSqlConn)
sqlcmd.CommandText = sSql
sqlcmd.Parameters.Add("@kolumn", "MinKolumn")
sqlcmd.Parameters.Add("@varde", "Mittvärde")
sqlcmd.Parameters.Add("@theid", 1)
</code>
Däremot funkar det bra om jag bygger en sqlsträng och exekverar på samma sätt.
*Klia sig i hårbotten* Någon som vet ?
Ps: om en vecka får jag GLASÖGON! (Känner mig lite smartare)
Ps2: Hittade inget ADO.NET forum varför jag postar här.Sv: SqlCommand.SqlParameters
Du har rätt tillvägagångssätt redan, generera strängen dynamiskt och kör den.
/mickeSv:SqlCommand.SqlParameters
Ingen som vet varför man inte kan göra såhär? Antar att man ej heller kan göra så i stored procedure, inte sant ?Sv: SqlCommand.SqlParameters
Har du kollat på värdet på din variabel @varde?
Har du kollat värdet på din variabel @kolumn?
Å-skit var det samma värde!!! Syntaxen du kör tilldelar variabeln @kolumn värdet av @varde.
Därav inget fel...
Bygg strängen INNAN du skickar den till SQL, så funkar det, precis som du skrev innan!
/mickeSv: SqlCommand.SqlParameters
Sv:SqlCommand.SqlParameters
Och eftersom man inte längre använder parameter, så måste man ju manuellt skydda mot sql injection.Sv: SqlCommand.SqlParameters
Det är nog så att det är din förståelse för T-SQL syntaxen som är bristfällig och är anledningen till att du inte förstår varför du inte får ett fel. Och det finns ingen anledning att sluta använda Parameter bara för det?
Du bygger denna strängen dynamiskt
Dim sSql As String = "UPDATE tblProjNotes SET @kolumn = @varde WHERE intProjNoteID = @theid"
så att du får t.ex en som ser ut som
Dim sSql As String = "UPDATE tblProjNotes SET kolmnnamn= @varde WHERE intProjNoteID = @theid"
Sen kopplar du denna till ditt <b>SqlCommand</b> objekt och fyller i dina parametrar och på så sätt får du skydd. Dock är det en annan sak om du skall låta användaren fylla i namnet på kolumnen också, det får du själv "skydda".