SQL Server 2012动态SQL - 存储过程 - 获取语法错误

Question

我正在编写脚本以在当前模式表示法未知的数据库中生成存储过程（认为共享主机）。

我已经决定在存储过程中使用动态SQL，以便Web应用程序可以将基于用户定义的设置的数据库架构传递给SQL Server以便正确触发。

当我开始编写存储过程时，我注意到动态SQL打开了一个通常不会有的SQL注入问题，所以我重新编写了程序来解决这个问题。然而即使SQL使我能够运行该脚本生成存储过程，每次我尝试运行测试存储过程，我得到一个语法错误附近的关键字

不正确的语法“WHERE”

我相信这是与模式的参数有关，但我为什么这不起作用而感到不知所措？我为模式输入值dbo。

/* 
    Name   : usp_GetTestTicker 

    Description  : returns test ticker 

*/ 

if not exists (select * from dbo.sysobjects 
       where id = object_id(N'usp_GetTestTicker') 
    and OBJECTPROPERTY(id, N'IsProcedure') = 1) 
BEGIN 
    DECLARE @sql as nvarchar(150) 
    SET @sql = 'CREATE procedure usp_GetTestTicker AS' 

    EXEC(@sql) 
END 
GO 

ALTER PROCEDURE usp_GetTestTicker 
    @schema VARCHAR(25), 
    @TickerItemId INT 
AS 
    SET NOCOUNT ON 
BEGIN 
    DECLARE @sql_cmd NVARCHAR(MAX) 
    DECLARE @sql_params NVARCHAR(MAX) 

    SET @sql_cmd = N'SELECT * FROM @schema.TickerItem WHERE TickerItemId = @TickerItemId' 

    SET @sql_params = N'@schema VARCHAR(25), @TickerItemId INT' 

    EXEC sp_executesql @sql_cmd, @sql_params, @schema, @TickerItemId 
END 
GO 

Answer 1

防止SQL注入，你将需要验证的模式对sys.schemas表，例如

ALTER PROCEDURE usp_GetTestTicker 
    @schema NVARCHAR(25), 
    @TickerItemId INT 
AS 
BEGIN 
    SET NOCOUNT ON 

    IF NOT EXISTS (SELECT * FROM sys.schemas WHERE name = @schema) 
    BEGIN 
     -- throw an error here. Your web code will have to handle the error and report an invalid schema 

    END 
    ELSE 
    BEGIN 
     DECLARE @sql_cmd NVARCHAR(MAX), @sql_params NVARCHAR(MAX) 

     SET @sql_cmd = N'SELECT * FROM ' + @schema + '.TickerItem WHERE TickerItemId = @TickerItemId' 

     SET @sql_params = N'@TickerItemId INT' 

     EXEC sp_executesql @sql_cmd, @sql_params, @TickerItemId 
    END 
END