7

我试图更新一个不需要使用 sp_executesql 就可以正常工作的存储过程。我现在想将表名作为参数,因为我有许多具有相同结构的表,并且不想为每个表创建新的存储过程。

我遇到的问题是这个版本似乎需要所有参数,而前一个版本接受任意数量的参数。例如,如果我删除所有 WHERE 参数并且只使用 @TableName 参数,它就可以正常工作。我已经尝试寻找一个例子,但我找不到这样的东西。所有解析表名的例子都只有那个参数。

CREATE PROCEDURE cafgTenantNamesTEST2
    @TableName sysname,
    @Square nvarchar(100) = null,
    @Location nvarchar(100) = null,
    @Name nvarchar(100) = null,
    @NormalizedName nvarchar(100) = null,
    @SharedLand int = 0,
    @FieldNumber int = 0,
    @Description nvarchar(255) = null,
    @Dwelling nvarchar(100) = null
AS
BEGIN
    DECLARE @sql AS NVARCHAR(MAX)
    SET @sql = 'SELECT * FROM [' + @TableName + ']' + 
    'WHERE ([Square] LIKE ''' + @Square + ''' OR ''' + @Square + ''' IS NULL)' + 
    'AND ([Location] = ''' + @Location + ''' OR ''' + @Location + ''' IS NULL)' +
    ...
    ...
--PRINT @sql
EXEC sp_executesql @sql
END

请提出建议。

4

1 回答 1

10

建议 1: 使用 QUOTENAME() 处理表名的正确转义。

建议2: 您将参数的值插入@sql。不要那样做。相反,您应该使用参数化的 sql。

建议 3:通过有条件地构建查询的 WHERE 子句来消除 OR 逻辑。

 CREATE PROCEDURE cafgTenantNamesTEST2
    @TableName sysname,
    @Square nvarchar(100) = null,
    @Location nvarchar(100) = null,
    @Name nvarchar(100) = null,
    @NormalizedName nvarchar(100) = null,
    @SharedLand int = 0,
    @FieldNumber int = 0,
    @Description nvarchar(255) = null,
    @Dwelling nvarchar(100) = null
AS
BEGIN
    DECLARE @sql AS NVARCHAR(MAX)
    SET @sql = N'SELECT * FROM ' + QUOTENAME(@TableName ) + 
    ' WHERE 1=1 '
    IF  @Square IS NOT NULL
      SET @sql = @sql + ' AND ([Square] LIKE   @Square )'  -- still patameterized
   IF @Location IS NOT NULL
      SET @sql = @sql + N'  AND ([Location] = @Loc )'
    ...
    ...
--PRINT @sql
EXEC sp_executesql @sql, N'@Square nvarchar(100), @Loc nvarchar(100)...', @square=@square, @loc=@location  -- the param names can be the same or different, sp_executesql has it's own scope.
END

sp_executesql 除了可以执行普通 sql 之外,还可以执行参数化 sql。它是客户端库用来执行参数化代码的底层系统存储过程。例如,如果您添加了任何参数,System.Data.SqlClient.SqlCommand 将调用 sp_executesql。它是非典型的,因为它接受可变数量的参数。sp_executesql上的 msdn 文档提供了一些很好的信息,但并不清楚。在 SQL 探查器中捕获活动是查看 sp_executesql 运行情况的最简单方法。

于 2013-06-15T03:21:34.033 回答