Alter table SqlCommand

Question

我尝试使用带参数的SqlCommand更改表中某一列的数据类型，但不起作用。下面是我的代码：

    Dictionary<string,string> dict = new Dictionary<string,string>();
    dict.Add("@TableName",TableColumnArray[0].ToString( ));
    dict.Add("@ColumnName",TableColumnArray[1].ToString( ));
    DBSql.ExecSQLStatement( "ALTER TABLE @TableName ALTER COLUMN @ColumnName varchar(MAX)",dict,connectionStringName);

    public static void ExecSQLStatement (string strsql,Dictionary<string,string> dict,string  connectionStringName)
    {
        SqlConnection con = CreateSqlConnectionStr(connectionStringName);
        SqlCommand cmd = new SqlCommand(strsql,con);
        foreach(string dictKey in dict.Keys)
        {
            cmd.Parameters.Add(new SqlParameter(dictKey,dict[dictKey]));
        }
        con.Open( );
        cmd.ExecuteNonQuery( );
        con.Close( );
    }

但是代码一直抛出一个错误：“@TableName附近的语法不正确”。我找不到解决这个问题的办法。我可以尝试使用存储过程，但我真的想知道代码为什么不能工作。我通常使用带有select、insert语句参数的SqlCommand，但它似乎不适用于alter语句？

Answer 1

因为在默认情况下，tableName和列名不能参数化为。避免sql注入的一种方法是创建一个用户定义函数来检查tableName是否有效。然后将名称连接到字符串上。例如，

下面是UDF

private bool IsValidColumnNameOrTableName(string tablecolumnName)
{
    // other codes
    return returnValue;
}

Answer 2

不能在DDL语句中使用参数。您应该动态创建语句字符串：

DBSql.ExecSQLStatement(
    "ALTER TABLE " + TableColumnArray[0] + " ALTER COLUMN " + TableColumnArray[1] + " varchar(MAX)",
    dict,connectionStringName);

Answer 3

您需要准确指定表名和列名：

"ALTER TABLE " + TableColumnArray[0].ToString( ) + " ALTER COLUMN " + TableColumnArray[1].ToString( ) + "varchar(MAX)"

sql server不允许将表名和列名作为变量值的语法。