如何在dynamicSQL查询中设置表名?

我想在dynamicSQL查询中设置表名。 我试着成功的参数如下:

/* Using sp_executesql */ /* Build and Execute a Transact-SQL String with a single parameter value Using sp_executesql Command */ /* Variable Declaration */ DECLARE @EmpID AS SMALLINT DECLARE @SQLQuery AS NVARCHAR(500) DECLARE @ParameterDefinition AS NVARCHAR(100) /* set the parameter value */ SET @EmpID = 1001 /* Build Transact-SQL String by including the parameter */ SET @SQLQuery = 'SELECT * FROM tblEmployees WHERE EmployeeID = @EmpID' /* Specify Parameter Format */ SET @ParameterDefinition = '@EmpID SMALLINT' /* Execute Transact-SQL String */ EXECUTE sp_executesql @SQLQuery, @ParameterDefinition, @EmpID 

现在我想dynamic地使用TABLE NAME参数,但是我没有做到这一点。 请指导我

3 Solutions collect form web for “如何在dynamicSQL查询中设置表名?”

表名不能作为参数提供,所以你必须像这样手动构造SQLstring:

 SET @SQLQuery = 'SELECT * FROM ' + @TableName + ' WHERE EmployeeID = @EmpID' 

但是,请确保您的应用程序不允许用户直接input@TableName的值,因为这会使您的查询容易受到SQL注入的影响。 对于一个可能的解决scheme,看到这个答案 。

为了防止SQL注入,我通常尽可能地使用函数。 在这种情况下,你可以这样做:

 ... SET @TableName = '<[db].><[schema].>tblEmployees' SET @TableID = OBJECT_ID(TableName) --won't resolve if malformed/injected. ... SET @SQLQuery = 'SELECT * FROM ' + OBJECT_NAME(@TableID) + ' WHERE EmployeeID = @EmpID' 

尝试这个:

 /* Variable Declaration */ DECLARE @EmpID AS SMALLINT DECLARE @SQLQuery AS NVARCHAR(500) DECLARE @ParameterDefinition AS NVARCHAR(100) DECLARE @TableName AS NVARCHAR(100) /* set the parameter value */ SET @EmpID = 1001 SET @TableName = 'tblEmployees' /* Build Transact-SQL String by including the parameter */ SET @SQLQuery = 'SELECT * FROM ' + @TableName + ' WHERE EmployeeID = @EmpID' /* Specify Parameter Format */ SET @ParameterDefinition = '@EmpID SMALLINT' /* Execute Transact-SQL String */ EXECUTE sp_executesql @SQLQuery, @ParameterDefinition, @EmpID 
  • 远程过程调用失败与SQL Server 2008 R2
  • 这些只复制备份选项是什么意思?
  • 你在参数声明中使用了什么大小的varchar(MAX)?
  • 这个查询做什么来创build逗号分隔列表SQL Server?
  • 我如何将自己的pipe理员权限授予本地SQL Server实例?
  • 如何在SQL Server 2008上find禁用的索引
  • 转置没有聚合的行和列
  • 如何将Sql Server 2008 DateTimeOffset转换为DateTime
  • 无法login到SQL Server + SQL Server身份validation+错误:18456年
  • 如何连接到SQL Server 2008 Express的本地实例
  • 如何在不同的模式下创build一个SQL表?