Как создать параметризованный запрос?

Question

Я застрял в этой проблеме некоторое время и прошел несколько учебников без успеха.

Как вы используете параметризованные запросы в C# с Oracle.ManagedDataAccess.dll, а не старыми Oracle.DataAccess.dll?

Код я попытался это:

string query = @"SELECT Count(*) FROM @table WHERE @custNM = '@nm'"; 

OracleCommand mySearch = new OracleCommand(query, newConn); 
mySearch.Prepare(); 

mySearch.Parameters.Add("@table", "cust"); 
mySearch.Parameters.Add("@custNM", "nm"); 
mySearch.Parameters.Add("@nm", "SAM"); 

Я также попробовал без раздела и остроумием mySearch.Prepare: вместо @ и без @ префиксов строки запроса. Еще одна вещь, которую я пробовал, заключалась в удалении @/: в начале строки Add, например.

mySearch.Parameters.Add("nm", "SAM"); 

Моя конечная цель состоит в том, чтобы использовать переменные для передачи значений вместо простого строкового текста для оператора, если это проще сделать.

Answer 1

Во-первых, вы должны использовать : в качестве идентификатора параметра вместо @, который обычно используется SQL Server.

Во-вторых, вы не можете указать имя таблицы или имена полей, используя параметры. Он должен быть либо жестко закодирован, либо написан с использованием динамического SQL.

В-третьих, вы не должны избегать параметров. Им это не нужно.

Самое лучшее, что можно сейчас это:

string query = @"SELECT Count(*) FROM cust WHERE nm = :nm"; 

OracleCommand mySearch = new OracleCommand(query, newConn); 
mySearch.Parameters.Add(":nm", "SAM");