我已经跟随即时通讯程序的SQL Server:SQL帮助在程序中声明
alter procedure sp_selectfFriends_by_cities
(
@txt_id_usuarios varchar(300)
)
as
begin
declare @sql varchar(300)
set @sql = 'select
a.int_id_usuario,
a.int_id_cidade,
b.txt_nome_cidade,
b.txt_nome_estado
from
tb_cidades_visitadas a
left join
tb_cidades
b on b.int_id_cidade = a.int_id_cidade
where int_id_usuario in (' + @txt_id_usuarios + ')'
execute(@sql)
end
凡@txt_id_usuarios是用逗号分隔的用户列表,并现场int_id_usuario是BIGINT类型。 即:
'6663225047,1122675730,1591119304,1664930592,1685923789,100000235882380,100000292471037,100000466411115'
当我尝试执行它传递一个字符串作为参数,它返回我跟着错误: 附近有语法错误“1685923789”。
但是没有不正确的语法。
陌生人,如果我删除它的一些工作原理。 I.E:
'6663225047,1122675730,1591119304,1664930592'
工作正常!
任何意识?
不知道错误,但你的过程不是很安全。尝试读取参数化的SQL和SQL注入。 – 2010-12-10 12:58:18