sql >> Database >  >> RDS >> Sqlserver

Hoe de tabelnaam in een dynamische SQL-query in te stellen?

Om me te beschermen tegen SQL-injectie, probeer ik normaal gesproken waar mogelijk functies te gebruiken. In dit geval kunt u het volgende doen:

...
SET @TableName = '<[db].><[schema].>tblEmployees'
SET @TableID   = OBJECT_ID(TableName) --won't resolve if malformed/injected.
...
SET @SQLQuery = 'SELECT * FROM ' + OBJECT_NAME(@TableID) + ' WHERE EmployeeID = @EmpID' 


  1. Actieve sessies en status van SQL Server

  2. Fatale fout:oproep naar niet-gedefinieerde functie session_register()

  3. Een afbeelding invoegen in de postgresql-database

  4. Hoe bereken ik een lopend totaal in SQL zonder een cursor te gebruiken?