Sqlserver
 sql >> база данни >  >> RDS >> Sqlserver

Как да задам име на таблица в динамична SQL заявка?

За да се предпазя от SQL инжектиране, обикновено се опитвам да използвам функции, където е възможно. В този случай можете да направите:

...
SET @TableName = '<[db].><[schema].>tblEmployees'
SET @TableID   = OBJECT_ID(TableName) --won't resolve if malformed/injected.
...
SET @SQLQuery = 'SELECT * FROM ' + OBJECT_NAME(@TableID) + ' WHERE EmployeeID = @EmpID'


  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. Има ли разлика между DateTime в C# и DateTime в SQL сървър?

  2. Топ 5 инструменти за моделиране на данни за SQL Server

  3. Актуализиране на таблица с помощта на JOIN в SQL Server?

  4. 4 невероятни ресурси за наблюдение на SQL Server за администратори на бази данни

  5. Как да създадете база данни в SQL Server