Sql server 动态SQL遇到的问题
这是执行存储过程的代码:Sql server 动态SQL遇到的问题,sql-server,tsql,dynamic-sql,Sql Server,Tsql,Dynamic Sql,这是执行存储过程的代码: ALTER PROCEDURE [dbo].[Create_Subjects] @Subj_ID nvarchar(9) AS DECLARE @First3Digits nvarchar(3); DECLARE @Result int; DECLARE @Sql nvarchar(max) -- Fetching the fiest 3 digits of the subject SET @First3Digits =
ALTER PROCEDURE [dbo].[Create_Subjects]
@Subj_ID nvarchar(9)
AS
DECLARE @First3Digits nvarchar(3);
DECLARE @Result int;
DECLARE @Sql nvarchar(max)
-- Fetching the fiest 3 digits of the subject
SET @First3Digits = SUBSTRING(@Subj_ID,1,3);
-- Check if view is present or not
IF EXISTS (SELECT 1 FROM sys.views WHERE Name = @First3Digits)
BEGIN
SET @Sql = 'select @Result = case when exists (select 1 from dbo.' + quotename(@First3Digits) + ' where SubjectName = ''' + @Subj_ID + ''') then 1 else 0 end';
EXECUTE sp_executesql @Sql, N'@Subj_ID nvarchar(9), @Result bit out', @Subj_ID = @Subj_ID, @Result = @Result out;
-- checking if the subject is present in the view
END
ELSE
BEGIN
-- Create a view as view doesn't exist
SET @Sql = 'create view ' + @First3Digits
+ ' as
(select SubjectName from dbo.Subjects where SubjectName like '+@First3Digits+'%'+');';
EXECUTE sp_executesql @Sql, N'@First3Digits nvarchar(3)', @First3Digits= @First3Digits;
SET @Result = 0;
END
RETURN @Result
GO
遇到错误:
味精156,第15级,状态1,第28行
关键字“view”附近的语法不正确 味精102,第15级,状态1,第29行
“')附近的语法不正确
您的SQL存在许多问题。但是首先调试它们的方法是打印SQL而不执行它,然后是普通的SQL,您可以很容易地确定它的错误
quotename
@First3Digits
传递到sp_executesql
中,因为此时您已经使用了它的值-如果您正在创建视图,则必须这样做注意:正如我在前面的问题中提到的,根据提供的信息,这似乎是一个非常糟糕的设计。几乎可以肯定的是,有一种更好的方法可以解决你的大问题。正如Martin Smith所评论的,an可能值得研究。这是create view语句MSG 156的语法,级别15,状态1,第28行关键字“view”附近的语法不正确。Msg 102,级别15,状态1,第29行“%”附近的语法不正确。如果视图名称不符合常规标识符命名规则(例如,它以数字开头),则还必须将名称括在双引号或方括号中。使用
QUOTENAME
就像您之前在程序中所做的那样:SET@Sql='create view'+QUOTENAME(@First3Digits)
在创建视图中添加@First3Digits时,您也会丢失撇号。在选择块中,您做的正确,但不是创建视图块。而不是为每个参数创建视图,而是查看内联表值函数。攻击SQL向量是一个SQL注入攻击向量。如果创建视图,这可能是一个固有的问题,但意识到这一点仍然至关重要。@MarcGravel您将如何解决它?无法创建使用参数的视图。。。“所以我想它需要某种方式逃走吗?”戴瑞克我稍微修改了一下我的话;因为涉及到一个视图(第二次阅读),所以问题更大。我可能会用一根非常大的驳船杆来避免这种情况。就像“社交距离”,但对于关系数据库管理系统。是的,我在OP的第一个问题上加了注释。但没有收到任何进一步的详细信息,因此无法提出替代方案。另外,您是否确认您可以在nvarchar(3)
中安装足够的SQL以进行注入攻击?:)
EXEC [dbo].[Create_Subjects] '1234567890'
set @Sql = 'create view dbo.' + quotename(@First3Digits)
+ ' as'
+ ' select SubjectName'
+ ' from dbo.Subjects'
+ ' where SubjectName like ''' + @First3Digits + ''' + ''%'';';
-- This is how you debug dynamic SQL
print(@Sql);
execute sp_executesql @Sql;