在下面的示例代码中,表名是输入参数。在这种情况下,我如何避免使用sp_executesql进行SQL注入。下面是示例代码,我试图使用sp_executesql来避免它,但它不起作用。任何人都可以告诉我如何改正它? ALTER PROC Test @param1 NVARCHAR(50),
@param2 INT,
@tblname NVARCHAR(100)
AS
我需要delete所有rows在一些tablewhere值是空字符串(我有多个表名称相似)。 我tryed执行这些SQL语句是字符串: DECLARE @sql AS NVARCHAR(MAX)
DECLARE @emptyValue AS NVARCHAR(1) =''
set @sql = N'DELETE FROM SampleTable WHERE Value='[email pro
我试过如下: declare @var2 nvarchar(30)
declare @qsql nvarchar(100)
set @var2 = N'iddelegat'
exec ('select max('+ @var2 + ') as IDexec from delegat');
set @qsql = 'select max(@varsp) as IDspexec from