テーブル名を直接パラメータ化することはできません。 sp_ExecuteSQL
を介して間接的に行うことができます 、ただし、(パラメーター化された)TSQLをC#で構築し(テーブル名を連結しますが、他の値は連結しません)、コマンドとして送信することもできます。同じセキュリティモデルが得られます(つまり、明示的なSELECTなどが必要であり、署名されていないことを前提としています)。
また、必ずテーブル名をホワイトリストに登録してください。
テーブル名を直接パラメータ化することはできません。 sp_ExecuteSQL
を介して間接的に行うことができます 、ただし、(パラメーター化された)TSQLをC#で構築し(テーブル名を連結しますが、他の値は連結しません)、コマンドとして送信することもできます。同じセキュリティモデルが得られます(つまり、明示的なSELECTなどが必要であり、署名されていないことを前提としています)。
また、必ずテーブル名をホワイトリストに登録してください。