如果这是公司内部的应用程序,那么为什么每个人都反复重申并击败SQL注入技术……使用动态SQL非常简单。如果您对这些只是内部用户感到满意,那么它非常简单。这是概念。本质上,您编写了一个SQL语句,该语句编写的字符串实际上是一个SQL语句,然后执行它。
CREATE Procedure myDynamicProcedure@strDept nvarchar(10), @strUser nvarchar(30)asBEGIN
1.声明一个变量以存储SQL语句。
DECLARE @SQL varchar(max)
2.将您的@SQL变量设置为SELECt语句。 基本上,您正在构建它,以便它返回您要编写的内容。像这样:
SET @SQL = 'select x, y, z from table1 where' + @strDept + ' in ' + @strUser
3.执行@SQL语句,它就像您运行的一样: 从table1中选择x,y,z,其中f18 =’Ted Lee’
EXEC (@SQL)END
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)