valores tipos tabla separar por linea hacer funciones ejemplos delimitada consultas con como comas caracter cadena buscar sql sql-server sql-server-2008 parameters dynamicquery

tipos - ¿Cómo establecer el nombre de la tabla en la consulta SQL dinámica?



substring sql (3)

Prueba esto:

/* Variable Declaration */ DECLARE @EmpID AS SMALLINT DECLARE @SQLQuery AS NVARCHAR(500) DECLARE @ParameterDefinition AS NVARCHAR(100) DECLARE @TableName AS NVARCHAR(100) /* set the parameter value */ SET @EmpID = 1001 SET @TableName = ''tblEmployees'' /* Build Transact-SQL String by including the parameter */ SET @SQLQuery = ''SELECT * FROM '' + @TableName + '' WHERE EmployeeID = @EmpID'' /* Specify Parameter Format */ SET @ParameterDefinition = ''@EmpID SMALLINT'' /* Execute Transact-SQL String */ EXECUTE sp_executesql @SQLQuery, @ParameterDefinition, @EmpID

Quiero establecer el nombre de la tabla en una consulta SQL dinámica. Intenté con éxito para el parámetro de la siguiente manera:

/* Using sp_executesql */ /* Build and Execute a Transact-SQL String with a single parameter value Using sp_executesql Command */ /* Variable Declaration */ DECLARE @EmpID AS SMALLINT DECLARE @SQLQuery AS NVARCHAR(500) DECLARE @ParameterDefinition AS NVARCHAR(100) /* set the parameter value */ SET @EmpID = 1001 /* Build Transact-SQL String by including the parameter */ SET @SQLQuery = ''SELECT * FROM tblEmployees WHERE EmployeeID = @EmpID'' /* Specify Parameter Format */ SET @ParameterDefinition = ''@EmpID SMALLINT'' /* Execute Transact-SQL String */ EXECUTE sp_executesql @SQLQuery, @ParameterDefinition, @EmpID

Ahora quiero tomar TABLE NAME dinámicamente con un parámetro, pero no lo hice. Por favor guíame.

Para ayudar a protegerme contra la inyección de SQL, normalmente trato de usar funciones siempre que sea posible. En este caso, podrías hacer:

... SET @TableName = ''<[db].><[schema].>tblEmployees'' SET @TableID = OBJECT_ID(TableName) --won''t resolve if malformed/injected. ... SET @SQLQuery = ''SELECT * FROM '' + OBJECT_NAME(@TableID) + '' WHERE EmployeeID = @EmpID''

Los nombres de tabla no se pueden suministrar como parámetros, por lo que deberá construir la cadena SQL manualmente de esta manera:

SET @SQLQuery = ''SELECT * FROM '' + @TableName + '' WHERE EmployeeID = @EmpID''

Sin embargo, asegúrese de que su aplicación no permita que un usuario ingrese directamente el valor de @TableName , ya que esto haría que su consulta sea susceptible a la inyección de SQL. Para una posible solución a esto, vea esta respuesta .