sql >> Database >  >> RDS >> Sqlserver

Dynamische SQL-resultaten in tijdelijke tabel in SQL Stored-procedure

Probeer:

SELECT into #T1 execute ('execute ' + @SQLString )

En dit ruikt heel erg naar een kwetsbaarheid voor sql-injectie.

correctie (volgens de opmerking van @CarpeDiem):

INSERT into #T1 execute ('execute ' + @SQLString )

laat ook de 'execute' . weg als de sql-tekenreeks iets anders is dan een procedure



  1. Waarom wachtstatistieken alleen niet genoeg zijn?

  2. Problemen met de postgresql COPY-opdracht met Rails op een andere server

  3. Hervatbare SQL Server-index:is het goed voor u?

  4. De geschiedenis van databases