15
Ich frage mich, warum ich nicht variable Spaltennamen wie das verwenden:Name der SQL Server-Variablenspalten?
declare @a as varchar;
set @a='TEST'
select @a from x;
Danke
A
Antwort
15
Sie es nicht tun, weil SQL kompiliert wird, bevor er weiß, was der Wert von @a ist (ich bin in Wirklichkeit vorausgesetzt, Sie wollen @a einige sein Parameter und nicht wie in Ihrem Beispiel fest codiert).
Stattdessen können Sie dies tun:
declare @a as varchar;
set @a='TEST'
declare @sql nvarchar(max)
set @sql = 'select [' + replace(@a, '''', '''''') + '] from x'
exec sp_executesql @sql
Aber Vorsicht, dies ist eine Sicherheitslücke (SQL-Injection-Angriffe), so sollte nicht erfolgen, wenn Sie nicht oder gut sauber @a vertrauen können.
1
Da die Spaltennamen aufgelöst werden bei der Kompilierung zur Laufzeit nicht für die SQL-Anweisung.
3
Verwendung sp_executesql für dieses
Example
SET @SQLString = N'SELECT *
FROM table1
WHERE timet = @time and items in (@item)';
DECLARE @SQLString nvarchar(500);
DECLARE @ParmDefinition nvarchar(500);
SET @ParmDefinition = N'@time timestamp,
@item varchar(max) ';
EXECUTE sp_executesql
@SQLString
,@ParmDefinition
,@time = '2010-04-26 17:15:05.667'
,@item = '''Item1'',''Item2'',''Item3'',''Item4'''
;
4
Weil es nicht erlaubt ist.
Insted hierfür könnte Sie dynamische SQL-Abfrage verwenden:
declare @a as varchar;
set @a='TEST'
exec ('select ' + @a + ' from x')
+2
Die Frage war, Warum ist es nicht erlaubt, nicht wie man es umgeht. Ich kann nicht sehen, dass die Antwort mit "Weil es nicht erlaubt ist" sehr hilfreich ist. –
+0
@ David M: Ja, das ist nur ein Workaround. Ihre Antwort ist gut! – Alex
+0
Danke für 'exec' - es ist leichter zu erinnern als' exec sp_executesql' bla bla. Ich erinnere mich immer Fehler mit diesem SP zu bekommen, wie "nicht erlaubt, dieses Verfahren auszuführen". –
Verwandte Themen
- 1. Name der SQL-Kyrillentabelle
- 2. Name der SQL-Syntaxnotation?
- 3. SQL Server Name der Spalten als Variablen
- 4. SQL-Injektion mit Name der gespeicherten Prozedur
- 5. Name der PL/SQL-Prozedur herausfinden
- 6. Name der SQL-Desc-Spalte nicht akzeptiert?
- 7. Name der SQL-Datenbankverbindung, der sich vom Datenbanknamen unterscheidet
- 8. Der Name einer Tabelle der Datenbank ändern (SQL Server 2008)
- 9. DataGridView und SQL-Abfrage Name
- 10. erhalten Spalte Name passenden Regex Muster sql
- 11. sql userid + name + profile optimize question
- 12. SQL konvertieren Datum zu Tag Name
- 13. Wie kann ich Name in SQL teilen
- 14. Wie der Name der Konstante
- 15. Name der Variablentabelle in sqlite
- 16. Name der eingebetteten Ressource
- 17. Name der Stadt Abfrage
- 18. Name der erbenden Klasse
- 19. Name der Organisationseinheit
- 20. Wie lautet der Name?
- 21. Name der dynamischen Ansicht in Tabellenwertfunktion
- 22. MySQL: Wenn der Name der Stored Procedure der Name der Tabellenspalte ist
- 23. Angular2: Konfiguration 'Name' Konflikte mit der bestehenden Route 'Name'
- 24. WPF: Was ist der Unterschied zwischen 'Name' und 'x: Name'?
- 25. div # name vs #name
- 26. Woher kam der Name `atoi`?
- 27. Name der dynamischen JPA-Persistenzeinheit
- 28. Name der doppelten Spalte lock_status
- 29. Name der Taste in Funktion
- 30. Der Name 'ConfigureAuth' existiert nicht
Und verwenden Sie keine dynamische SQL, wenn Sie diese zuerst lesen: http://www.sommarskog.se/dynamic_sql.html – HLGEM