这有点令人困惑,因为它之前工作过,我添加了1个小小的变化,并在我的Web应用程序中收到此错误消息。 (我有其他情况下,我只是拿出其他情况下为简单起见)必须声明标量变量“@dom”
原始代码的工作之前,我做的唯一的变化是加入
and u.domain = @dom'
后,其中
ALTER PROCEDURE [dbo].[GetRoles]
(@reportid Decimal, @dom varchar(10))
AS
DECLARE @sql varchar(2000)
SELECT @sql =
Case @reportid
WHEN 1 THEN
'select u.id as userId, u.domain, u.isAdmin, u.email, u.canReport, a.[site], a.bldgNum, a.dataCenterNum, l.shortName, l.[description], a.canApprove, a.canComplete
from locAdmin a
inner join location l on (a.site=l.site and a.bldgNum = l.bldgNum and a.dataCenterNum = l.dataCenterNum)
right outer join [user] u on u.id=a.userId and u.domain=a.domain
where u.isAdmin = 1'
End
EXEC (@sql)
u.isAdmin = 1',所以它看起来像这样
where u.isAdmin = 1 and u.domain = @dom'
谢谢,这工作!只是想知道,但为什么执行命令需要改变,并需要nvarchar? – nhat 2012-08-13 15:47:41
变量@dom不在您的动态SQL中。 sp_executesql的第二个参数定义参数,以下参数是值。 sp_executesql的参数是nvarchar,因此您必须更改该参数。看看[这里](http://www.sommarskog.se/dynamic_sql.html)了解更多有关动态SQL的信息。 – 2012-08-13 16:27:16
@nhat当然,使用sp_executesql参数而不是连接你的SQL字符串最重要的是它可以保护你免受[SQL注入攻击](http://xkcd.com/327/)的攻击。 – 2012-08-13 16:44:34