当我这样做时,我没有收到任何错误,但它在我的数据库中创建了一个名为“dbo。@ tablename”的表,当我真正想要它创建我传递的值作为参数时exec过程作为tablename。我究竟做错了什么。这是我的更新程序脚本。也许我可以改变,以便它确实创建值作为表名。
这是我到目前为止所拥有的:
ALTER PROCEDURE [dbo].[Load_Negatives]
-- Add the parameters for the stored procedure here
@TABLENAME SYSNAME,
@AuditPeriodStartDate datetime,
@AuditPeriodEndDate datetime
AS
BEGIN
SET NOCOUNT ON;
Select
Location,
Customer,
Transaction_date
into
dbo.[@TABLENAME]
from dbo.CustomerHistory (nolock)
where
[Transaction_date] between @AuditPeriodStartDate and @AuditPeriodEndDate
END
答案 0 :(得分:7)
表名不能参数化。因此,您需要动态构建SQL语句,并将名称合并到动态脚本中。
为了最大限度地降低SQL注入的风险,请使用QUOTENAME系统函数和@TABLENAME值,并将参数化引入动态查询以传递存储过程的其他两个参数:
ALTER PROCEDURE [dbo].[Load_Negatives]
@TABLENAME SYSNAME,
@AuditPeriodStartDate datetime,
@AuditPeriodEndDate datetime
AS
BEGIN
SET NOCOUNT ON;
DECLARE @sql nvarchar(max);
SET @sql = N'Select
Location,
Customer,
Transaction_date
into
dbo.' + QUOTENAME(@TABLENAME) + N'
from dbo.CustomerHistory (nolock)
where
[Transaction_date] between @AuditPeriodStartDate and @AuditPeriodEndDate'
;
EXECUTE sp_executesql
@sql,
N'@AuditPeriodStartDate datetime, @AuditPeriodEndDate datetime',
@AuditPeriodStartDate, @AuditPeriodEndDate
;
END
基本上,动态查询看起来与您当前的查询几乎完全相同。唯一的区别是表名是QUOTENAME(@TABLENAME)的结果。动态查询的datetime参数恰好与存储过程的相应参数具有相同的名称,但这不是必需的。
EXECUTE sp_executesql语句将datetime参数传递给动态查询,然后执行它。
另一个注意事项是您使用BETWEEN谓词并使用datetime值。如果Transaction_date包含带有非零时间部分的时间戳,那么以这种形式指定范围会更好:
[Transaction_date] >= @AuditPeriodStartDate
and
[Transaction_date] < @AuditPeriodEndDate
通过这种方式,您可以确保结果仅包含相关值。更多信息可以在这篇博客文章中找到: