SqlCeパラメータでエラーが発生しました

Question

私はこの素敵な惑星で私の時間に多くのパラメータ化クエリを作成しましたが、このようなエラーは発生していません... WTFudge？！？！

ERROR：

There was an error parsing the query. [ 
Token line number = 1, 
Token line offset = 20, 
Token in error = @table ] 

明らかにコンパイラが私のSQL文を好きではありません...しかし、私は何の問題を見ていません？

ここに私のコードです。

using (SqlCeConnection con = new SqlCeConnection(_connection)) 
{ 
    string sqlString = "SELECT @colID FROM @table WHERE @keyCol = @key"; 

    SqlCeCommand cmd = new SqlCeCommand(sqlString, con); 
    cmd.Parameters.Add(new SqlCeParameter("@table", tableName)); 
    cmd.Parameters.Add(new SqlCeParameter("@colID", columnIdName)); 
    cmd.Parameters.Add(new SqlCeParameter("@keyCol", keyColumnName)); 
    cmd.Parameters.Add(new SqlCeParameter("@key", key)); 

    try 
    { 
     con.Open(); 
     return cmd.ExecuteScalar(); 
    } 
    catch (Exception ex) 
    { 
     Console.Write(ex.Message); 
     throw new System.InvalidOperationException("Invalid Read. Are You Sure The Record Exists", ex); 
    } 
    finally 
    { 
     if (con.State == ConnectionState.Open) 
      con.Close(); 
     cmd.Dispose(); 
     GC.Collect(); 
    } 
} 

非常に単純なSQL文です。私は "@テーブル"が愚かに予約されていたり、何か...されている可能性がありますので、@テーブル名を試したので、@ var、@すべて！問題が何であるか知りません。

デバッグ中に、実際に@ tableパラメータがSqlCeParameterCollectionに存在することが確認されました。一日でクリア！

Answer 1

あなたはC＃であるので、（保存されprocsのではなく）

string sqlString = "SELECT " + columnIdName + 
" FROM " +tableName "WHERE " + keyColumnName + "= @key"; 

あなたはcolumnIdName、tableNameの、keyColumnNameは、すべての値のリストに（またはで制限されていることを確認したくなるでしょう少なくとも50文字までの長さに制限してください。そうでなければ、この手順は安全性とSQLインジェクション攻撃に最適化されています。

Answer 2

これはSqlCeでも影響を受けました。しかし、Sql ServerとSqlExpressでは、テーブル名にpaarameterを使用できます。