0

尝试更新链接服务器 (SQL 2000/2005) 上的表,但我的服务器名称不会提前知道。我正在尝试这个:

DECLARE @Sql NVARCHAR(4000)
DECLARE @ParamDef NVARCHAR(4000)
DECLARE @SERVER_NAME VARCHAR(35)

SET @Sql = 'UPDATE
@server_name_param.dba_sandbox.dbo.SomeTable
SET SomeCol=''data'''

SET @ParamDef = N'@server_name_param VARCHAR(35)'

print @Sql

exec sp_executesql @Sql, @ParamDef, @server_name_param=@SERVER_NAME

这会返回:

UPDATE
@server_name_param.dba_sandbox.dbo.SomeTable
SET SomeCol='data'
Msg 170, Level 15, State 1, Line 2
Line 2: Incorrect syntax near '.'.

有任何想法吗?无论如何我查看参数绑定后正在执行的SQL语句?

4

3 回答 3

4

你必须这样做,它不能被参数化

....
SET @Sql = 'UPDATE ' + @server_name_param + '.dba_sandbox.dbo.SomeTable SET SomeCol=''data'''
....

编辑:我在纯 DBA 时代使用了另一种方法

EXEC sp_setnetname 'AdhocServer', @SERVER_NAME
UPDATE AdhocServer.dba_sandbox.dbo.SomeTable SET SomeCol 'data'
EXEC sp_setnetname 'AdhocServer', 'MeaninglessValue'

sp_setnetname从 SQL Server 2000 到 2008

编辑2。权限

试试EXECUTE AS LOGIN = 'login_name',其中 login_name 是超级用户

我还没有真正使用过这个(我使用“AS USER”进行测试),所以不确定更好的点......

编辑 3:对于并发,考虑使用 sp_getapplock 和存储过程,或其他一些并发控制机制。

于 2009-11-18T20:09:59.023 回答
0

您不能直接使用参数执行此操作 - 您必须使用动态 SQL,或者将服务器名称作为参数发送到执行动态 SQL 的 SP:

DECLARE @template NVARCHAR(4000) 
DECLARE @Sql NVARCHAR(4000) 
DECLARE @SERVER_NAME VARCHAR(35) 

SET @template = 'UPDATE {@server_name_param}.dba_sandbox.dbo.SomeTable SET SomeCol=''data''' 
SET @sql = REPLACE(@template, '{@server_name_param}', @SERVER_NAME)

print @Sql 

exec sp_executesql @Sql -- OR EXEC ( @sql )
于 2009-11-18T20:08:54.603 回答
0

我喜欢gbn的把戏。我不知道那个,我得再研究一下。

因为我不知道那个技巧,所以我过去不得不在类似的情况下使用动态 sql(就像 Cade 发布的那样)。发生这种情况时,我通常会在构建查询之前查询信息模式视图以确保参数值是真实的数据库对象。这样,我确定这不是注射尝试。

于 2009-11-18T20:27:46.657 回答