есть простой способ параметризировать эти запросы, я имел взгляд на довольно много различных сайтах, но не могу найти то, что я хочуМожно ли параметризировать эти запросы SQL C#
if (HttpContext.Current.Request.HttpMethod == "GET" && TableName != null)
{
cmd.CommandText = "SELECT TOP 50 * FROM " + TableName;
if (SearchID != null && Regex.IsMatch(SearchID, @"^\d+$"))
{
cmd.CommandText += " WHERE " + TableName + "ID Like '%" + SearchID + "%'";
}
else if (SearchName != null)
{
cmd.CommandText += " WHERE " + TableName + "Name LIKE '%" + SearchName.Replace("'", "''") + "%'";
}
if (ID != null)
{
cmd.CommandText += " WHERE " + TableName + "ID = " + ID + "";
}
}
Является ли 'ID' текстовым или числовым столбцом? –
Вы не можете параметризовать имена таблиц. – dcastro
Нет, не с именами таблиц или столбцов. Только значения –