Как установить имя таблицы в динамическом SQL-запросе?

Question

Как установить имя таблицы в динамическом SQL-запросе?

Я хочу установить имя таблицы в динамическом SQL-запросе. Я попытался успешно для параметра следующим образом:

/* Using sp_executesql */
/* Build and Execute a Transact-SQL String with a single parameter 
value Using sp_executesql Command */

/* Variable Declaration */
DECLARE @EmpID AS SMALLINT
DECLARE @SQLQuery AS NVARCHAR(500)
DECLARE @ParameterDefinition AS NVARCHAR(100)
/* set the parameter value */
SET @EmpID = 1001
/* Build Transact-SQL String by including the parameter */
SET @SQLQuery = 'SELECT * FROM tblEmployees WHERE EmployeeID = @EmpID' 
/* Specify Parameter Format */
SET @ParameterDefinition =  '@EmpID SMALLINT'
/* Execute Transact-SQL String */
EXECUTE sp_executesql @SQLQuery, @ParameterDefinition, @EmpID

теперь я хочу забрать TABLE NAME динамически используя параметр, но я не смог этого сделать. Пожалуйста, веди меня.

21

dynamicquery parameters sql sql-server sql-server-2008

автор: TT.

3 ответов

автор: Dan · Accepted Answer · 2017-10-20 11:07:20

имена таблиц не могут быть предоставлены в качестве параметров, поэтому вам придется построить строку SQL вручную следующим образом:

SET @SQLQuery = 'SELECT * FROM ' + @TableName + ' WHERE EmployeeID = @EmpID'

однако убедитесь, что ваше приложение не позволяет пользователю напрямую вводить значение @TableName, так как это сделает ваш запрос подвержен SQL-инъекции. Для одного из возможных решений этого см. ответ.

автор: user1172173 · Accepted Answer · 2015-03-16 17:04:14

чтобы защитить от SQL-инъекций, я обычно стараюсь использовать функции везде, где это возможно. В этом случае вы можете сделать:

...
SET @TableName = '<[db].><[schema].>tblEmployees'
SET @TableID   = OBJECT_ID(TableName) --won't resolve if malformed/injected.
...
SET @SQLQuery = 'SELECT * FROM ' + OBJECT_NAME(@TableID) + ' WHERE EmployeeID = @EmpID'

автор: Saharsh Shah · Accepted Answer · 2013-12-19 10:12:46

попробуйте это:

/* Variable Declaration */
DECLARE @EmpID AS SMALLINT
DECLARE @SQLQuery AS NVARCHAR(500)
DECLARE @ParameterDefinition AS NVARCHAR(100)
DECLARE @TableName AS NVARCHAR(100)
/* set the parameter value */
SET @EmpID = 1001
SET @TableName = 'tblEmployees'
/* Build Transact-SQL String by including the parameter */
SET @SQLQuery = 'SELECT * FROM ' + @TableName + ' WHERE EmployeeID = @EmpID' 
/* Specify Parameter Format */
SET @ParameterDefinition =  '@EmpID SMALLINT'
/* Execute Transact-SQL String */
EXECUTE sp_executesql @SQLQuery, @ParameterDefinition, @EmpID