SQL Server存儲過程：動態刪除記錄

Question

我需要刪除（讀取/更新）某些表中的某些值，並且希望使用存儲過程來減少安全問題。

由於表很多，記錄更多，並且爲每個組合編寫存儲過程是不合理的，並且由於每個人都有這種需求，我認爲可以很容易地找到存儲過程來執行此操作。但是使用google搜索很多，我沒有找到一個簡單而簡短的答案，所以我嘗試構建自己的存儲過程。但恐怕它可能有一些安全問題：主要是當我宣佈@Table爲nvarchar(30) ..我試圖宣佈爲表，但它返回錯誤..

可以建議什麼是不可接受的，並提出一個解決方案？

感謝

這裏存儲的程序刪除..但對於其他操作可能是相似的：

CREATE PROCEDURE dbo.spDeleteRecord 
(
    @UID  nvarchar(20) = NOT NULL, 
    @PWD  nvarchar(30) = NOT NULL, 
    @Table  sysname, 
    @WhereField sysname, 
    @WhereValue nvarchar(150) = NOT NULL 
) 
AS 
    SET NOCOUNT ON; 

    DECLARE @S nvarchar(max) = '', 
      @P nvarchar(max) = '' 

    SET @S = 'DELETE t 
       from dbo.'+quotename(@Table)+' t 
       join dbo.subUsers su on t.UID = su.UID 
       where ' + quotename(@WhereField) + ' = @_WhereValue 
       and su.SUID = @_UID 
       and su.PWD = @_PWD'  

    SET @P = '@_UID nvarchar(50), 
      @_PWD nvarchar(50), 
      @_Table sysname, 
      @_WhereField sysname, 
      @_WhereValue nvarchar(150)' 

    --PRINT @S 
    EXEC sp_executesql @S, @P, @UID, @PWD, @Table, @WhereField, @WhereValue 

    SET NOCOUNT OFF 

感謝您閱讀 喬

Answer 1

你需要做的是這樣的：

SET @S = 'DELETE t 
      from dbo.'+quotename(@Table)+' t 
      join dbo.subUsers su on t.UID = su.UID 
      where ' + quotename(@WhereField) + ' = @_WhereValue 
      and su.SUID = @_UID 
      and su.PWD = @_PWD'  

SET @P = '@_UID nvarchar(50), 
     @_PWD nvarchar(50), 
     @_WhereValue nvarchar(150)' 

--PRINT @S 
EXEC sp_executesql @S, @P, @_WhereValue = @WhereValue, @_UID = @UID, @_PWD = @PWD 

基本上，參數列表ca n只能引用實際嵌入在SQL字符串中的參數。

此外，請注意，@Table和@WhereField會更爲正確，因爲數據類型爲sysname。我也可能限制了@UID,@PWD和@WhereValue到NOT NULL，因爲我討厭未處理的空值。

但是，您真的需要考慮是否要這樣做。對我來說，這感覺就像留下一把裝滿槍的躺在身邊。當你用一個恰好與dbo.subUsers表中的值一致的UID字段的表進行調用時發生了什麼，即使這裏沒有關係？我沒有看到這個方法比剛纔從你的應用程序運行參數化查詢有什麼顯着的優點，並且查詢在執行之間改變的事實意味着你可能遇到參數嗅探的問題，所以你最終可能會得到次優的執行計劃。