Procedura przechowywana z nazwą tabeli jako parametrem między innymi

Question

Próbowałem zaktualizować procedurę przechowywaną, która działała poprawnie bez konieczności użycia sp_executesql. Teraz chcę mieć nazwę tabeli jako parametr, ponieważ mam wiele tabel o tej samej strukturze i nie chcę tworzyć nowych procedur przechowywanych dla każdego z nich.

Problem polega na tym, że ta wersja wydaje się wymagać wszystkich parametrów, podczas gdy poprzednia akceptowała dowolną liczbę parametrów. Na przykład, jeśli usunę wszystkie parametry WHERE i po prostu ustawię parametr @TableName, to działa dobrze. Próbowałem szukać przykładu, ale nie mogę znaleźć czegoś takiego. Wszystkie przykłady parsowania nazwy tabeli mają tylko ten parametr.

CREATE PROCEDURE cafgTenantNamesTEST2 
    @TableName sysname, 
    @Square nvarchar(100) = null, 
    @Location nvarchar(100) = null, 
    @Name nvarchar(100) = null, 
    @NormalizedName nvarchar(100) = null, 
    @SharedLand int = 0, 
    @FieldNumber int = 0, 
    @Description nvarchar(255) = null, 
    @Dwelling nvarchar(100) = null 
AS 
BEGIN 
    DECLARE @sql AS NVARCHAR(MAX) 
    SET @sql = 'SELECT * FROM [' + @TableName + ']' + 
    'WHERE ([Square] LIKE ''' + @Square + ''' OR ''' + @Square + ''' IS NULL)' + 
    'AND ([Location] = ''' + @Location + ''' OR ''' + @Location + ''' IS NULL)' + 
    ... 
    ... 
--PRINT @sql 
EXEC sp_executesql @sql 
END 

Sugestie proszę.

Answer 1

Sugestia 1: Użyj QUOTENAME(), aby obsłużyć prawidłowy sposób uniknięcia nazwy tabeli.

Sugestia 2: Wstawiasz wartość parametru do @sql. Nie rób tego. Zamiast tego należy użyć spameterized sql.

Sugestia 3: Wyeliminuj logikę OR, warunkowo tworząc klauzulę WHERE zapytania.

CREATE PROCEDURE cafgTenantNamesTEST2 
    @TableName sysname, 
    @Square nvarchar(100) = null, 
    @Location nvarchar(100) = null, 
    @Name nvarchar(100) = null, 
    @NormalizedName nvarchar(100) = null, 
    @SharedLand int = 0, 
    @FieldNumber int = 0, 
    @Description nvarchar(255) = null, 
    @Dwelling nvarchar(100) = null 
AS 
BEGIN 
    DECLARE @sql AS NVARCHAR(MAX) 
    SET @sql = N'SELECT * FROM ' + QUOTENAME(@TableName) + 
    ' WHERE 1=1 ' 
    IF @Square IS NOT NULL 
     SET @sql = @sql + ' AND ([Square] LIKE @Square)' -- still patameterized 
    IF @Location IS NOT NULL 
     SET @sql = @sql + N' AND ([Location] = @Loc)' 
    ... 
    ... 
--PRINT @sql 
EXEC sp_executesql @sql, N'@Square nvarchar(100), @Loc nvarchar(100)...', @square=@square, @loc=@location -- the param names can be the same or different, sp_executesql has it's own scope. 
END 

Sp_executesql może wykonać sparametryzowany sql oprócz zwykłego sql. Jest to podstawowa procedura składowana systemu używana przez biblioteki klienta do wykonywania sparametryzowanego kodu. Na przykład: System.Data.SqlClient.SqlCommand wywoła sp_executesql, jeśli dodano jakiekolwiek parametry. Jest nietypowy, ponieważ akceptuje zmienną liczbę parametrów. Dokumenty msdn na temat sp_executesql dostarczają pewnych dobrych informacji, ale nie są jasne. Przechwytywanie aktywności w programie SQL profiler jest najprostszym sposobem zobaczenia sp_executesql w akcji.