Sqlserver
 sql >> Teknologi Basis Data >  >> RDS >> Sqlserver

Bagaimana cara mengatur nama tabel dalam kueri SQL dinamis?

Untuk membantu menjaga terhadap injeksi SQL, saya biasanya mencoba menggunakan fungsi sedapat mungkin. Dalam hal ini, Anda dapat melakukan:

...
SET @TableName = '<[db].><[schema].>tblEmployees'
SET @TableID   = OBJECT_ID(TableName) --won't resolve if malformed/injected.
...
SET @SQLQuery = 'SELECT * FROM ' + OBJECT_NAME(@TableID) + ' WHERE EmployeeID = @EmpID'


  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. 4 Tips untuk Menyiapkan Peringatan SQL Server Anda

  2. Mengotomatiskan Pemulihan Uji Basis Data di SQL Server

  3. Mengukur Kinerja Kueri:Biaya Kueri Rencana Eksekusi vs Waktu yang Dibutuhkan

  4. Bagaimana cara menambahkan atribut khusus ke string koneksi SQL?

  5. Oracle:apakah ada alat untuk melacak kueri, seperti Profiler untuk server sql?