Как установить имя таблицы в динамическом SQL-запросе?

Я хочу установить имя таблицы в динамическом SQL-запросе. Я пробовал успешно для параметра следующим образом:

/* Using sp_executesql */
/* Build and Execute a Transact-SQL String with a single parameter 
value Using sp_executesql Command */

/* Variable Declaration */
DECLARE @EmpID AS SMALLINT
DECLARE @SQLQuery AS NVARCHAR(500)
DECLARE @ParameterDefinition AS NVARCHAR(100)
/* set the parameter value */
SET @EmpID = 1001
/* Build Transact-SQL String by including the parameter */
SET @SQLQuery = 'SELECT * FROM tblEmployees WHERE EmployeeID = @EmpID' 
/* Specify Parameter Format */
SET @ParameterDefinition =  '@EmpID SMALLINT'
/* Execute Transact-SQL String */
EXECUTE sp_executesql @SQLQuery, @ParameterDefinition, @EmpID

Теперь я хочу динамически использовать TABLE NAME, используя параметр, но я этого не сделал. Пожалуйста, направляйте меня.

ОТВЕТЫ

Ответ 1

Названия таблиц не могут быть представлены как параметры, поэтому вам нужно будет построить строку SQL вручную следующим образом:

SET @SQLQuery = 'SELECT * FROM ' + @TableName + ' WHERE EmployeeID = @EmpID'

Однако убедитесь, что ваше приложение не позволяет пользователю напрямую вводить значение @TableName, так как это сделает ваш запрос восприимчивым к SQL-инъекции. Для одного возможного решения этого вопроса см. этот ответ.

Ответ 2

Чтобы защититься от SQL-инъекции, я обычно стараюсь использовать функции везде, где это возможно. В этом случае вы можете сделать:

...
SET @TableName = '<[db].><[schema].>tblEmployees'
SET @TableID   = OBJECT_ID(TableName) --won't resolve if malformed/injected.
...
SET @SQLQuery = 'SELECT * FROM ' + OBJECT_NAME(@TableID) + ' WHERE EmployeeID = @EmpID'

Ответ 3

Попробуйте следующее:

/* Variable Declaration */
DECLARE @EmpID AS SMALLINT
DECLARE @SQLQuery AS NVARCHAR(500)
DECLARE @ParameterDefinition AS NVARCHAR(100)
DECLARE @TableName AS NVARCHAR(100)
/* set the parameter value */
SET @EmpID = 1001
SET @TableName = 'tblEmployees'
/* Build Transact-SQL String by including the parameter */
SET @SQLQuery = 'SELECT * FROM ' + @TableName + ' WHERE EmployeeID = @EmpID' 
/* Specify Parameter Format */
SET @ParameterDefinition =  '@EmpID SMALLINT'
/* Execute Transact-SQL String */
EXECUTE sp_executesql @SQLQuery, @ParameterDefinition, @EmpID

Ответ 4

Это лучший способ получить схему динамически и добавить ее в разные таблицы в базе данных, чтобы получить другую информацию динамически

select @sql = 'insert #tables SELECT' '[' '+SCHEMA_NAME (schema_id) +' '.' '+ name +' ']' 'AS SchemaTable FROM sys.tables'

exec (@sql)

конечно #tables - это динамическая таблица в хранимой процедуре