1. 首页
  2. 问答
  3. 如何使用sp_executesql

如何使用sp_executesql

2016-07-05 66 views
0

我用文字值作为动态SQL变量我有如下表:如何使用sp_executesql

CREATE TABLE Wages (EmpID INT, Amount MONEY) 
INSERT INTO Wages VALUES (1,25000), (2,30000), (3,35000), (4, 40000) 

SELECT * FROM Wages

我想创建一个使用sp_executesql的,我可以在哪里改,不仅值的方法条款,但也有关系 - 即大于(>)或小于(<)。

可以说,我有:

SELECT * FROM Wages WHERE EmpID > 2 AND Amount > 30000 


SELECT * FROM Wages WHERE EmpID <= 2 AND Amount <= 30000

如何将我的代码,这样我可以在“<”或“=”通过,而不是“>”得到这个:

SELECT * FROM Wages WHERE EmpID < 2 AND Amount < 30000

我尝试这样做:

下面我做了以下 

DECLARE @Amount MONEY 
DECLARE @EmpID INT 
DECLARE @EmpSYMBOL NVARCHAR(2) 
DECLARE @AmountSYMBOL NVARCHAR(2) 

DECLARE @SQL2 NVARCHAR(2000) = 'SELECT * FROM Wages WHERE EmpID @EmpSYMBOL @EmpID AND Amount @AmountSYMBOL @Amount' 

EXEC sp_executesql @SQL2, N'@EmpID INT, @Amount MONEY, @EmpSYMBOL NVARCHAR(2), @AmountSYMBOL NVARCHAR(2)',2, 30000,'<','<';

编辑 鉴于有益的答案:

DECLARE @Amount MONEY 
DECLARE @EmpID INT 
DECLARE @EmpSYMBOL NVARCHAR(2) 
DECLARE @AmountSYMBOL NVARCHAR(2) 

DECLARE @SQL2 NVARCHAR(2000) = 'SELECT * FROM Wages WHERE EmpID '+ @EmpSYMBOL+' @EmpID AND Amount '+ @AmountSYMBOL+' @Amount' 

EXEC sp_executesql @SQL2, N'@EmpID INT, @Amount MONEY, @EmpSYMBOL NVARCHAR(2), @AmountSYMBOL NVARCHAR(2)',2, 30000,'<','<';

但尽管它在运行时错误没有回来

这将返回一个错误

CREATE PROC GetWages @EmpSYMBOL NVARCHAR(2), @EmpID INT,@AmountSYMBOL NVARCHAR(2), @Amount MONEY 
AS 

IF @EmpID IN (1,2,3,4) 
AND (@Amount BETWEEN 25000 AND 40000) 
AND @EmpSYMBOL IN('>','<','<>','!=','=', '<=','>=') 
AND @AmountSYMBOL IN('>','<','<>','!=','=', '<=','>=') 

BEGIN 
DECLARE @SQL NVARCHAR(200)=' 
SELECT * FROM Wages WHERE Amount '[email protected]+' @Amount AND EmpiD '[email protected]+' @EmpID' 
EXEC sp_executesql @SQl , N'@Amount MONEY ,@EmpID INT',@Amount, @EmpID 
END 
ELSE 
PRINT 'Input variable(s) out of range'

鉴于我是我在做我的自己的输入值的参数检查,我想我也可以这样做:

ALTER PROC GetWages @EmpSYMBOL NVARCHAR(2), @EmpID INT,@AmountSYMBOL NVARCHAR(2), @Amount MONEY 
AS 

IF @EmpID IN (1,2,3,4) 
AND (@Amount BETWEEN 25000 AND 40000) 
AND @EmpSYMBOL IN('>','<','<>','!=','=', '<=','>=') 
AND @AmountSYMBOL IN('>','<','<>','!=','=', '<=','>=') 

BEGIN 
DECLARE @SQL NVARCHAR(200)=' 
SELECT * FROM Wages WHERE Amount '[email protected] 
+' '+CAST(@Amount AS NVARCHAR(8))+' AND EmpiD ' 
[email protected]+' '+CAST(@EmpID AS NVARCHAR(1)) 

EXEC sp_executesql @SQl 
END 
ELSE 
PRINT 'Input variable(s) out of range'

来源

2016-07-05 SteelyDanFan

+0

那么第二个肯定是坏的。你不能以这种方式参数化比较。第一个不起作用,因为你的SQL字符串为空。由于符号变量没有值,因此您将空值连接起来。无需传递比较参数,只需在执行调用之前构建sql字符串即可。 – shawnt00

+0

是的,我有点知道第二个不行。 – SteelyDanFan

回答

1

尝试这样的事情.....

DECLARE @Amount  MONEY 
     , @EmpID  INT 
     , @EmpSYMBOL NVARCHAR(2) = '<' 
     , @AmountSYMBOL NVARCHAR(2) = '<' 
     , @SQL2   NVARCHAR(MAX); 

    SET @SQL2 = N' SELECT * FROM Wages ' 
      + N' WHERE EmpID ' + @EmpSYMBOL + ' @EmpID 
       AND Amount ' + @AmountSYMBOL + ' @Amount' 

EXEC sp_executesql @SQL2 
       , N'@EmpID INT, @Amount MONEY' 
       , @EmpID = 2 
       , @Amount =30000

重要提示

有没有安全的方法接受比较运算符作为参数而不会遇到很多麻烦。上面的例子很容易发生SQL注入。

来源

2016-07-05 17:42:04

+0

感谢和评论指出 - 我真的怀疑这是否是原因。关于这个特定的程序,除<,>或=(或任意两个组合)之外还可以使用什么? – SteelyDanFan

+1

只是不直接连接参数到你的sql中,就像我在上面的例子中所做的那样,在你将它们连接到你的sql之前添加一些检查来查看参数是什么,因此如果有恶意用户添加sql-injection,检查会捕获它们而sql永远不会执行。你已经做出了一个很好的选择,只有'navarchar(2)'参数。 –

+0

鉴于此,请参阅我的编辑 – SteelyDanFan

相关问题

 相关问题