sql - 即使成功更新后,T-SQL 过程、标量变量也会出错

标签 sql sql-server tsql stored-procedures dynamic-sql

--sp_executesql version
    --SET @SQLQUERY = 'UPDATE @TableName SET Brief = @Brief,
    --               [Full] = @Full,                        
    --               CreatedBy = @CreatedBy,
    --               Department = @Department,
    --               Answer = @Answer WHERE Id=@Id';
 --SET @ParamDefinition=N'@TableName nvarchar(50),@Brief nvarchar(50),@Full nvarchar(MAX),@CreatedBy varchar(256),@Department varchar(256),@Answer nvarchar(MAX),@Id int' 
--  exec sp_executesql @SQLQUERY,@ParamDefinition,@TableName,@Brief,@Full,@CreatedBy,@Department,@Answer,@Id; 

-- exec version
SET @SQLQUERY = 'UPDATE ' + @TableName + ' SET  
                     Brief ='+ @Brief+',
                     [Full] ='+ @Full+',                        
                     CreatedBy ='+ @CreatedBy+',
                     Department ='+ @Department+',
                     Answer ='+@Answer+' WHERE Id='+CAST(@Id as nvarchar(10))

print @SQLQUERY; 
EXEC (@SQLQUERY)

我使用了 EXECsp_executesql 过程来执行动态查询,但都失败了。

如果是 EXEC,则动态查询未设置为 @SQLQUERY 变量(调试后可见),如果是 sp_executesql I尽管数据库已更新并且我已经将所有内容传递给它,但出现标量变量错误。

最佳答案

案例非常简单。您无法在 UPDATE 中参数化表/列名称声明:

SET @SQLQUERY = 'UPDATE @TableName       --here is problem
                 SET    Brief = @Brief, 
                        [Full] = @Full,                        
                        CreatedBy = @CreatedBy,
                        Department = @Department,
                        Answer = @Answer 
                 WHERE Id=@Id';


SET @ParamDefinition=N'@TableName nvarchar(50),@Brief nvarchar(50), 
                       @Full nvarchar(MAX), @CreatedBy varchar(256),
                       @Department varchar(256),@Answer nvarchar(MAX),@Id int' 

EXEC dbo.sp_executesql @SQLQUERY,@ParamDefinition,
                        @TableName,@Brief,@Full,
                        @CreatedBy,@Department,@Answer,@Id;

使用替换:

SET @SQLQUERY = N'UPDATE <tab_name> 
                  SET Brief     = @Brief, 
                     [Full]     = @Full,                        
                     CreatedBy  = @CreatedBy,
                     Department = @Department,
                     Answer     = @Answer 
                  WHERE Id = @Id';

SET @SQLQUERY = REPLACE(@SQLQUERY, '<tab_name>', QUOTENAME(@TableName));

SET @ParamDefinition=N'@Brief nvarchar(50),@Full nvarchar(MAX),
                       @CreatedBy varchar(256),@Department varchar(256),
                       @Answer nvarchar(MAX),@Id int';

EXEC [dbo].[sp_executesql] @SQLQUERY,
                           @ParamDefinition,
                           @Brief,@Full,@CreatedBy, @Department,@Answer,@Id;

注释:

  • 表名称应具有 SYSNAME 数据类型。
  • 最好使用 QUOTENAME 引用标识符(以避免潜在的 SQL 注入(inject)攻击)。
  • 我猜 @CreatedBydatetime,这就是为什么我不明白为什么它作为 varchar(256) 传递的原因。
  • 最好以 ; 结束每个语句。。在未来的版本中,这将是强制性的。

关于sql - 即使成功更新后,T-SQL 过程、标量变量也会出错,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36660853/

相关文章:

sql-server - SSMS 对象资源管理器 - 连接到 Azure DB 时选择丢失的前 N ​​行

sql - 如何找到 SQL Server 2008 中性能最差的查询?

tsql - SQL中 '<>'和 'Is NOT'的区别?

SQL 桶确定年龄分组

MySQL 检查多个条件之间是否具有唯一标识符

Sql条件计数

sql - SQL 中具有 OR 条件的同一列上的多个 NOT LIKE 运算符失败

sql - INSERT INTO 不会工作!

SQL 服务器 : return distinct number of periods

.net - 在 SQL Server 2008 的 'From' 子句中使用表名变量