Wie parameteriere ich eine gespeicherte T-SQL-Prozedur, die eine Tabelle löscht?

Question

Ich bin nach einer einfachen gespeicherten Prozedur, um Tabellen zu löschen. Hier ist mein erster Versuch:

CREATE PROC bsp_susf_DeleteTable (@TableName char) 
AS 
IF EXISTS (SELECT name FROM sysobjects WHERE name = @TableName) 
BEGIN 
DROP TABLE @TableName 
END 

Wenn ich dies in MS Query Analyzer analysieren bekomme ich folgende Fehlermeldung:

Server: Msg 170, Level 15, State 1, Procedure bsp_susf_DeleteTable, Line 6 
Line 6: Incorrect syntax near '@TableName'. 

Welche Art Sinn macht, weil die normalen SQL für eine einzelne Tabelle würden:

Beachten Sie, dass die erste Instanz von tbl_XYZ (in der WHERE-Klausel) einfache Anführungszeichen hat, während die zweite Instanz in der DROP-Anweisung dies nicht tut. Wenn ich eine Variable (@TableName) verwende, kann ich diese Unterscheidung nicht treffen.

Also kann eine gespeicherte Prozedur erstellt werden, um dies zu tun? Oder muss ich die IF EXISTS kopieren ... überall?

Answer 1

Sie sollten dynamische SQL verwenden können.

Update: Ja, Sie kleiner machen @sql können, war dies nur ein kleines Beispiel. Beachten Sie auch, andere Kommentare über SQL-Injection-Attacken

Answer 2

Sie müssen EXEC verwenden, die Abfrage als String auszuführen. Mit anderen Worten, wenn Sie den Tabellennamen übergeben, definieren Sie ein varchar und weisen Sie die Abfrage und Tabellenname, dann führen Sie die Variable, die Sie erstellt haben.

Edit: JEDOCH Ich empfehle nicht, dass da jemand in SQL Pass könnte eher als ein Tablename und führt alle Arten von wunderbaren Problemen. Siehe Sql-Injektion für weitere Informationen.

Ihre beste Wette ist eine parametrisierte Abfrage auf der Client-Seite für diese zu schaffen. Zum Beispiel in C# würde ich so etwas wie:

declare @sql varchar(max) 
if exists (select name from sysobjects where name = @TableName) 
BEGIN 
    set @sql = 'drop table ' + @TableName 
    exec(@sql) 
END 

this helps:

// EDIT 2: on second thought, ignore this code; it probably won't work 
SqlCommand sc = new SqlCommand(); 
sc.Connection = someConnection; 
sc.CommandType = Command.Text; 
sc.CommandText = "drop table @tablename"; 
sc.Parameters.AddWithValue("@tablename", "the_table_name"); 
sc.ExecuteNonQuery(); 

Answer 3

Persönlich würde ich sehr vorsichtig sein, dies zu tun. Wenn Sie das Gefühl haben, dass Sie es für administrative Zwecke benötigen, stellen Sie bitte sicher, dass die Rechte zur Ausführung dieses Formulars sehr begrenzt sind. Außerdem würde der proc den Tabellennamen und das Datum und den Benutzer in eine Logging-Tabelle kopieren. So weißt du zumindest, wer den falschen Tisch fallen ließ. Sie können auch andere Schutzmaßnahmen wünschen. Zum Beispiel möchten Sie möglicherweise bestimmte Tabellen angeben, die mit diesem Proc nie gelöscht werden können.

Weiterhin wird dies nicht auf alle Tabellen in allen Fällen. Sie können keine Tabelle löschen, der ein Fremdschlüssel zugeordnet ist.

Unter keinen Umständen würde ich einem Benutzer oder irgendjemandem erlauben, dass der Datenbankadministrator diesen Prozess ausführt. Wenn Sie über ein Systemdesign verfügen, bei dem Benutzer Tabellen löschen können, liegt höchstwahrscheinlich etwas drastisch falsch an Ihrem Design vor und sollte überdacht werden.

Verwenden Sie diesen Proc auch nicht, wenn Sie nicht über einen wirklich guten Sicherungszeitplan verfügen und die Wiederherstellung aus Sicherungen durchführen.