sql >> Databasteknik >  >> RDS >> Sqlserver

"Måste deklarera den skalära variabeln"-felet när en tabellvärderad parameter skickas till en parametrerad SQL-sats

Först och främst:Jag har ingen aning om var du får tag i tableName och columnName , men om de tillhandahålls av användaren är detta öppet för SQL-injektion. Använd åtminstone QUOTENAME() för att säkerställa att ingen faktisk kod injiceras.

För det andra använder du faktiskt inte TVP. Koden du har säger bara IN (@IDTable) vilket inte är hur du använder en TVP.

En TVP är bara en tabellvariabel och bör användas som vilken annan tabell som helst:

protected virtual void DoDeleteRecords(List<Guid> ids)
{   
    if (ids.Count == 0)
        return;
    DataTable tvp = new DataTable();
    tvp.Columns.Add("Id", typeof(Guid));

    foreach (Guid id in ids)
        tvp.Rows.Add(id);

    const string sql = @"
DELETE FROM table
WHERE idColumnName IN (SELECT * FROM @IDTable);
";

    using(SqlConnection connection = new SqlConnection(CoreSettings.ConnectionString))
    using(SqlCommand command = new SqlCommand(sql, connection))
    {
        command.Parameters.Add(
            new SqlParameter("@IDTable", SqlDbType.Structured)
        {
            Value = tvp,
            Direction = ParameterDirection.Input,
            TypeName = "dbo.IDList"
        });

        connection.Open();
        command.ExecuteNonQuery();
    }
}



  1. Mysql-utlösare efter uppdatering infogas i en annan tabell med villkor

  2. enstaka citattecken visas runt värdet efter att ha kört kopia i postgres 9.2

  3. Gruppera rader Behåller ordningen på värden

  4. T-SQL-buggar, fallgropar och bästa praxis – pivotering och unpivoting