22,300
社区成员
发帖
与我相关
我的任务
分享一个存储过程的问题
我想写一个适用于各种表单的不同字段(都是varchar型数据)的修改的存储过程,内容如下
create procedure pr_AddData(
@table varchar(50),
@editfield varchar(50),
@editcontent varchar(50),
@keyfield varchar(50),
@keycontent varchar(50)
)as
update @table set @editfield=@editcontent where @keyfield=@keycontent
go
但是提示错误了,请问这个怎么解决
create procedure pr_AddData(
@table varchar(50),
@editfield varchar(50),
@editcontent varchar(50),
@keyfield varchar(50),
@keycontent varchar(50)
)as
update @table set @editfield=@editcontent where @keyfield=@keycontent
go
但是提示错误了,请问这个怎么解决
...全文
请发表友善的回复…
发表回复
zhangaidi 2006-02-22
- 打赏
- 举报
有正解了~~呵呵
wgsasd311 2006-02-21
- 打赏
- 举报
--就是说,如果输入的内容是or 1=1就会出现安全问题了
create procedure pr_AddData(
@table varchar(50),
@editfield varchar(50),
@editcontent varchar(50),
@keyfield varchar(50),
@keycontent varchar(50)
)as
declare @sql nvarchar(4000)
set @sql='update '+@table+' set '+@editfield+'=@editcontent'
+ 'where '+@keyfield+'=@keycontent'
exec sp_executesql @sql,N'@editcontent varchar(50),@keycontent varchar(50)'
,@editcontent, @keycontent
go
create procedure pr_AddData(
@table varchar(50),
@editfield varchar(50),
@editcontent varchar(50),
@keyfield varchar(50),
@keycontent varchar(50)
)as
declare @sql nvarchar(4000)
set @sql='update '+@table+' set '+@editfield+'=@editcontent'
+ 'where '+@keyfield+'=@keycontent'
exec sp_executesql @sql,N'@editcontent varchar(50),@keycontent varchar(50)'
,@editcontent, @keycontent
go
immc1979 2006-02-21
- 打赏
- 举报
各位帮我看看啊
zhonghuashen 2006-02-21
- 打赏
- 举报
前面都说了 UP一下
immc1979 2006-02-20
- 打赏
- 举报
就是说,如果输入的内容是or 1=1就会出现安全问题了
immc1979 2006-02-20
- 打赏
- 举报
这样做貌似存在安全隐患啊
wgsasd311 2006-02-20
- 打赏
- 举报
--楼主少了引号,字符串要用''括起来
create procedure pr_AddData(
@table varchar(50),
@editfield varchar(50),
@editcontent varchar(50),
@keyfield varchar(50),
@keycontent varchar(50)
)as
exec('update '+@table+' set '+@editfield+'='''+@editcontent+''''
+ 'where '+@keyfield+'='''+@keycontent+'''')
create procedure pr_AddData(
@table varchar(50),
@editfield varchar(50),
@editcontent varchar(50),
@keyfield varchar(50),
@keycontent varchar(50)
)as
exec('update '+@table+' set '+@editfield+'='''+@editcontent+''''
+ 'where '+@keyfield+'='''+@keycontent+'''')
immc1979 2006-02-20
- 打赏
- 举报
这样做貌似存在安全隐患啊
skyboy0720 2006-02-20
- 打赏
- 举报
create procedure pr_AddData(
@table varchar(50),
@editfield varchar(50),
@editcontent varchar(50),
@keyfield varchar(50),
@keycontent varchar(50)
)as
exec('update '+@table+' set '+@editfield+'='+@editcontent+'
where '+@keyfield+'='+@keycontent)
@table varchar(50),
@editfield varchar(50),
@editcontent varchar(50),
@keyfield varchar(50),
@keycontent varchar(50)
)as
exec('update '+@table+' set '+@editfield+'='+@editcontent+'
where '+@keyfield+'='+@keycontent)
