Sqlserver
 sql >> Baza danych >  >> RDS >> Sqlserver

Jak ustawić nazwę tabeli w dynamicznym zapytaniu SQL?

Aby chronić się przed wstrzyknięciem SQL, zwykle staram się używać funkcji wszędzie, gdzie to możliwe. W takim przypadku możesz wykonać:

...
SET @TableName = '<[db].><[schema].>tblEmployees'
SET @TableID   = OBJECT_ID(TableName) --won't resolve if malformed/injected.
...
SET @SQLQuery = 'SELECT * FROM ' + OBJECT_NAME(@TableID) + ' WHERE EmployeeID = @EmpID'


  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. Transactionscope rzucający wyjątek ta platforma nie obsługuje transakcji rozproszonych podczas otwierania obiektu połączenia

  2. 5 najlepszych narzędzi do modelowania danych dla SQL Server

  3. Utwórz procedurę składowaną w SQL Server 2017

  4. Napisz liczbę z dwoma miejscami po przecinku SQL Server

  5. Zresetuj AutoIncrement w SQL Server po usunięciu