创建MySQL存储过程以更新记录

时间:2017-05-26 22:06:05

标签: mysql stored-procedures

我正在将所有现有的MSSQL数据库和存储过程转换为新的存储过程,我需要更新现有记录。一旦将记录插入数据库并成功发送电子邮件(或至少传递给SMTP服务器),就会从Web表单调用该过程

我已经在MSSQL中使用了很长时间的工作程序,但我正在尝试将其转换为MySQL。我传递了3个变量 - 一个表示电子邮件已发送,一个字符串表示已使用哪个SMTP服务器发送电子邮件和一个唯一的记录ID,因此我将知道要更新的记录。我还要将日期和时间添加到另一个字段以了解程序何时运行。

我有以下内容但仍然收到错误“#1064 - 您的SQL语法出错;请查看与您的MySQL服务器版本对应的手册,以便在第7行附近使用正确的语法 - 但我在第7行看不到任何东西 - 至少在我看来。

我正在尝试使用的代码是:

CREATE PROCEDURE `sp_Test`(
  `emailSent_In` BIGINT UNSIGNED,
  `emailTransport_In` VARCHAR(100),
  `formSecret_In` VARCHAR(32)
)
BEGIN
  SET @`query` := CONCAT('UPDATE ',`tbl_JustSayThanks`,' 
  SET `emailSent` = `emailSent_In`,
  `emailTransport` = ',`emailTransport_In`,',
`emailSentDate` = NOW()
    WHERE `formSecret` = ', `formSecret_In`, '');
  PREPARE `stmt` FROM @`query`;
  EXECUTE `stmt`;
       @`query` := NULL;
  DEALLOCATE PREPARE `stmt`;
END//
DELIMITER ;

仅供参考,我正在根据我之前从wchiquito收到的答案使用CONCAT,并最终将以表格名称传递。但是,我想在去那里之前让它在简化的水平上工作。

1 个答案:

答案 0 :(得分:5)

以下是错误的:

SET @`query` := CONCAT('UPDATE ',`tbl_JustSayThanks`,'

因为您似乎将SQL文本与tbl_JustSayThanks连接起来,但我认为您的意思是使用标识符本身。因此,这应该是:

SET @`query` := CONCAT('UPDATE `tbl_JustSayThanks`',

以下是错误的:

`emailTransport` = ',`emailTransport_In`,',

因为该变量是VARCHAR,但您不​​会在SQL语句中将其引用为字符串文字。很容易混淆多个引用级别。它应该是:

`emailTransport` = ''', `emailTransport_In`, ''',

由于同样的原因,以下是错误的:

WHERE `formSecret` = ', `formSecret_In`, '');

它应该是:

WHERE `formSecret` = ''', `formSecret_In`, '''');

除非您能保证输入参数是安全的(这不是一个好的假设),否则这仍会受到SQL注入问题的影响。如果需要将值连接到SQL表达式中,则应使用QUOTE()函数进行转义:

SET @query = CONCAT('
  UPDATE tbl_JustSayThanks 
  SET emailSent = ', QUOTE(emailSent_In), '
      emailTransport = ', QUOTE(emailTransport_In), '
      emailSentDate = NOW()
  WHERE formSecret = ', QUOTE(formSecret_In));

更多评论:

  • 您不需要使用反向标记来划分每个标识符,只需要与SQL保留字冲突的标识符,或包含空格或标点符号或国际字符的标识符。您显示的所有标识符都不需要分隔。
  • 使用预准备语句时,应将查询参数与?占位符一起使用,将连接变量连接到SQL字符串中。您不在SQL查询中引用参数占位符。这样你就不会遇到难以调试的语法错误,就像你找到的那样。

以下是一个显示修复程序的示例:

CREATE PROCEDURE sp_Test(
  emailSent_In BIGINT UNSIGNED,
  emailTransport_In VARCHAR(100),
  formSecret_In VARCHAR(32)
)
BEGIN
  SET @query = '
    UPDATE tbl_JustSayThanks
    SET emailSent = ?,
        emailTransport = ?,
        emailSentDate = NOW()
    WHERE formSecret = ?';
  SET @es = emailSent_In;
  SET @et = emailTransport_In;
  SET @fs = formSecret_In;
  PREPARE stmt FROM @query;
  EXECUTE stmt USING @es, @et, @fs;
  DEALLOCATE PREPARE stmt;
END//
DELIMITER ;

最终评论:

  • 您的示例查询没有动态语法元素,只有动态。因此,您根本不需要使用准备好的声明。

这就是我真正编写程序的方法:

CREATE PROCEDURE sp_Test(
  emailSent_In BIGINT UNSIGNED,
  emailTransport_In VARCHAR(100),
  formSecret_In VARCHAR(32)
)
BEGIN
  UPDATE tbl_JustSayThanks
  SET emailSent = emailSent_In,
      emailTransport = emailTransport_In,
      emailSentDate = NOW()
  WHERE formSecret = formSecret_In;
END//
DELIMITER ;

您还应该知道MySQL存储过程远不如Microsoft SQL Server。 MySQL不保留编译的存储过程,它不支持包,它没有调试器......我建议你不要使用MySQL存储过程。改为使用应用程序代码。

相关问题
最新问题