C# コード (asp.net Web サイト) からデータベースを作成するためのコードを作成しようとしています。
これは私のコードです:
SqlCommand myCommand = new SqlCommand("CREATE DATABASE @dbname", nn);
myCommand.Parameters.Add("dbname", dbname);
myCommand.ExecuteNonQuery();
nn.Close();
まあ、それは機能していません。エラーが表示されます:
'@dbname' 付近の構文が正しくありません
しかし。パラメータを使用しない場合、人々は私のデータベースに SQL inj を実行できます。テキストボックスからデータベース名を取得するために、何かを使用する方法を知っていますか? そして、人々はデータベースにSQLを挿入できないのですか?