我有一个MSSQL存储过程如下:
ALTER procedure [dbo].[GetDataFromTable]
(
@rowval varchar(50),
@tablename varchar(50),
@oby varchar(50)
)
as
begin
EXEC('Select top (' + @rowval + ') * from '+@tablename+ 'ORDER BY '+@oby+' DESC')
end
执行时,它会出现以下错误: 消息156,第15级,状态1,第1行 关键字' BY'附近的语法不正确。 我也试过跟着,仍然是同样的错误:
ALTER procedure [dbo].[GetDataFromTable]
(
@rowval varchar(50),
@tablename varchar(50),
@oby varchar(50)
)
as
begin
EXEC('Select top (' + @rowval + ') * from '+@tablename+ 'ORDER BY sno DESC')
end
注意:@rowval表示要获取的行数,@ tablename表示表的名称,@ oby表示基于应该进行排序的列。 注意:我在前端使用带有C#的ASP.Net来启动此过程并在后端使用MSSQL 2008 R2 Express Edition
答案 0 :(得分:6)
在 @tablename
和之后 ORDER
Declare @sql varchar(max)=''
SET @sql = 'Select top (' + @rowval + ') * from '+quotename(@tablename)+ ' ORDER BY sno DESC'
--^here
EXEC (@sql)
同时开始使用Print/Select
调试dynamic sql
要为此动态sql添加一些安全性,我将进行以下更改
@rowval
设为INT
QUOTENAME
参数中使用@tablename
函数以避免sql注入SP_EXECUTESQL
执行动态查询而不是EXEC
这是一种正确的方法
Declare @sql nvarchar(max)='',@tablename varchar(130), @rowval int
select @sql = 'Select top (@rowval) * from '+quotename(@tablename)+ ' ORDER BY sno DESC'
exec sp_executesql @sql,N'@rowval int',@rowval = @rowval