動的SQLクエリでテーブル名を設定する方法は?
動的SQLクエリにテーブル名を設定したい。私は次のようにパラメータを正常に試しました:
/* Using sp_executesql */
/* Build and Execute a Transact-SQL String with a single parameter
value Using sp_executesql Command */
/* Variable Declaration */
DECLARE @EmpID AS SMALLINT
DECLARE @SQLQuery AS NVARCHAR(500)
DECLARE @ParameterDefinition AS NVARCHAR(100)
/* set the parameter value */
SET @EmpID = 1001
/* Build Transact-SQL String by including the parameter */
SET @SQLQuery = 'SELECT * FROM tblEmployees WHERE EmployeeID = @EmpID'
/* Specify Parameter Format */
SET @ParameterDefinition = '@EmpID SMALLINT'
/* Execute Transact-SQL String */
EXECUTE sp_executesql @SQLQuery, @ParameterDefinition, @EmpID
今私はTABLE NAMEパラメータを動的に使用していますが、それを実行できませんでした。案内してください。
テーブル名はパラメーターとして提供できないため、次のようにSQL文字列を手動で作成する必要があります。
SET @SQLQuery = 'SELECT * FROM ' + @TableName + ' WHERE EmployeeID = @EmpID'
ただし、アプリケーションで@TableNameの値をユーザーが直接入力できないようにしてください。これにより、クエリがSQLインジェクションの影響を受けやすくなります。これに対する1つの可能な解決策については、 this answer を参照してください。
SQLインジェクションを防ぐため、通常は可能な限り関数を使用するようにしています。この場合、次のことができます。
...
SET @TableName = '<[db].><[schema].>tblEmployees'
SET @TableID = OBJECT_ID(TableName) --won't resolve if malformed/injected.
...
SET @SQLQuery = 'SELECT * FROM ' + OBJECT_NAME(@TableID) + ' WHERE EmployeeID = @EmpID'
これを試して:
/* Variable Declaration */
DECLARE @EmpID AS SMALLINT
DECLARE @SQLQuery AS NVARCHAR(500)
DECLARE @ParameterDefinition AS NVARCHAR(100)
DECLARE @TableName AS NVARCHAR(100)
/* set the parameter value */
SET @EmpID = 1001
SET @TableName = 'tblEmployees'
/* Build Transact-SQL String by including the parameter */
SET @SQLQuery = 'SELECT * FROM ' + @TableName + ' WHERE EmployeeID = @EmpID'
/* Specify Parameter Format */
SET @ParameterDefinition = '@EmpID SMALLINT'
/* Execute Transact-SQL String */
EXECUTE sp_executesql @SQLQuery, @ParameterDefinition, @EmpID
これは、スキーマを動的に取得し、データベース内の別のテーブルに追加して、他の情報を動的に取得するための最良の方法です
select @sql = 'insert #tables SELECT' '[' '+ SCHEMA_NAME(schema_id)+' '。' '+ name +' ']' 'AS SchemaTable FROM sys.tables'
exec (@sql)
もちろん#tablesはストアドプロシージャ内の動的テーブルです