3

当我尝试运行 SQL 时,它没有用单引号格式化 @Status 参数的值,因为它是文本。因此它给出了这个错误,因为Running是无效的列名。

DECLARE
    @ID int,
    @Status varchar(150),
    @StandardOutput varchar(max) = NULL,
    @StandardError varchar(max) = NULL,
    @Query Varchar(max),
    @S1 varchar(max),
    @S2 varchar(max),
    @S3 varchar(max)


SET     @Status = N'Running'
SET     @StandardError = N'So2234'
SET     @StandardOutput = Null
SET @S1 = ''
SET @ID = 1
--DECLARE @S1 varchar(max)
--SET @S1 = N' '
IF @Status IS NOT NULL 
    BEGIN
    SET @S1 = ( N',  dbo.JobQueue.Status = ' + @Status);
    END
IF @StandardError IS NOT NULL 
    BEGIN
    SET @S1 = @S1 + N',  dbo.JobQueue.StandardError = ' + @StandardError
    END
IF @StandardOutput IS NOT NULL
    BEGIN
    SET @S1 = N', dbo.JobQueue.StandardOutput = ' + @StandardOutput
    END

SET @S1 = (N' UPDATE  dbo.JobQueue SET ' + SUBSTRING(@S1, 2, LEN(@s1)) ) + ' ';
SET @S1 = @S1 + N' WHERE  dbo.JobQueue.ID = ' + CONVERT(VARCHAR(12), @ID);
SELECT @S1
EXEC(@S1)

消息 207,级别 16,状态 1,第 1 行
无效的列名称“正在运行”。
消息 207,级别 16,状态 1,第 1 行
无效的列名称“So2234”

打印结果@S1

UPDATE  dbo.JobQueue SET   dbo.JobQueue.Status = Running,  dbo.JobQueue.StandardError = So2234  WHERE  dbo.JobQueue.ID = 1
4

3 回答 3

1

由于这些值是您已知的,而不是由某处的 UI 提供的,因此您可以手动对其进行转义。但是,如果“运行”值不是常量而是由 UI 提供(SQL 注入),则不要这样做

尝试这个:

IF @Status IS NOT NULL 
    BEGIN
    SET @S1 = ( N',  dbo.JobQueue.Status = ''' + @Status + ''');
...
于 2012-05-08T14:31:52.340 回答
1

从 中检查结果SELECT @S1

一定有语法错误!例如,某处缺少空格或引号通常是主要原因。

更新:

UPDATE  dbo.JobQueue SET   dbo.JobQueue.Status = Running,  dbo.JobQueue.StandardError = So2234  WHERE  dbo.JobQueue.ID = 1

Running 和 So2234 prolly 是文本数据类型,因此您在它们上缺少引号!

于 2012-05-08T14:29:41.650 回答
0

为什么不在这里使用非动态sql呢?

UPDATE jq
SET Status = ISNULL(@status, jq.Status)
    ,StandardError = ISNULL(@StandardError, jq.StandardError)
    ,StandardOutput = ISNULL(@StandardOutput, jq.StandardOutput)      
FROM dbo.JobQueue jq
WHERE jq.ID = @id
于 2012-05-08T14:37:59.620 回答