Mich informieren, sobald neue Inhalte hinzugefügt werden

Forum: SQL | Thema: AW: Tabellenname als Parameter | Von: Thomas Hauser ( 31.07.2007 01:01) Hallo, das geht so natürlich nicht. Beim Hinzufügen eines Parameters zum Commandobjekt wird ja bei Zeichenfolgen der Wert mit Hochkommas eingeschlossen. Das würde dann also so ungefähr ausgeführt werden: SELECT * FROM 'tabellenname' GROUP BY Abt_Nr Das wird vermutlich nicht gefunden werden können. Die einzige Möglichkeit, die mir einfällt, ist den CommandText zusammenzuketten. Allerdings gefährlich wegen SQL Injection. Vor allem auf einer Webseite. Oder sind die Tabellennamen ohnehin nicht frei eingebar? Thomas Hauser (Trainer und Consultant, Blog: http://thomashauser.spaces.live.com, Forum: http://www.sharepointbook.de - Die Forum-Webseite zum Buch!) Betreff Von Datum AW: AW: Tabellenname als Parameter Hi,<br><br>falls man mit exec arbeiten möchte sollte der ganze Wert als "String" übergeben werden. Man könnte das ungefähr so aufbauen:<br><br>declare @tablename nvarchar(50)<br>set @tablename =... Thomas Golla 31.07.2007 08:24 Antworten Vorsicht bei der Eingabe: Die Zeichen ' oder -- sind nicht erlaubt!  Betreff:  Nachricht: Den Beitrag finden Sie nun unter: http://beta.devtrain.de/foren Die Benutzerdaten und Foreninhalte von beta.devtrain.de und www.devtrain.de sind die selben. Sie können sich dort sogar per RSS über neue Inhalte informieren lassen. Bei Problemen bitte direkt Mail an asp [AT] ppedv.de.  Signatur: