一个存储过程的问题

immc1979 2006-02-20 05:59:03

我想写一个适用于各种表单的不同字段（都是varchar型数据）的修改的存储过程，内容如下

create procedure pr_AddData(
@table varchar(50),
@editfield varchar(50),
@editcontent varchar(50),
@keyfield varchar(50),
@keycontent varchar(50)
)as
update @table set @editfield=@editcontent where @keyfield=@keycontent
go

但是提示错误了，请问这个怎么解决

...全文

154 9 打赏收藏转发到动态举报

写回复

用AI写文章

9 条回复

切换为时间正序

请发表友善的回复…

发表回复

zhangaidi 2006-02-22

打赏
举报

有正解了~~呵呵

wgsasd311 2006-02-21

打赏
举报

--就是说，如果输入的内容是or 1=1就会出现安全问题了
create procedure pr_AddData(
@table varchar(50),
@editfield varchar(50),
@editcontent varchar(50),
@keyfield varchar(50),
@keycontent varchar(50)
)as
declare @sql nvarchar(4000)
set @sql='update '+@table+' set '+@editfield+'=@editcontent'
+ 'where '+@keyfield+'=@keycontent'
exec sp_executesql @sql,N'@editcontent varchar(50),@keycontent varchar(50)'
,@editcontent, @keycontent
go

immc1979 2006-02-21

打赏
举报

各位帮我看看啊

zhonghuashen 2006-02-21

打赏
举报

前面都说了 UP一下

immc1979 2006-02-20

打赏
举报

就是说，如果输入的内容是or 1=1就会出现安全问题了

immc1979 2006-02-20

打赏
举报

这样做貌似存在安全隐患啊

wgsasd311 2006-02-20

打赏
举报

--楼主少了引号,字符串要用''括起来
create procedure pr_AddData(
@table varchar(50),
@editfield varchar(50),
@editcontent varchar(50),
@keyfield varchar(50),
@keycontent varchar(50)
)as
exec('update '+@table+' set '+@editfield+'='''+@editcontent+''''
+ 'where '+@keyfield+'='''+@keycontent+'''')

immc1979 2006-02-20

打赏
举报

这样做貌似存在安全隐患啊

skyboy0720 2006-02-20

打赏
举报

create procedure pr_AddData(
@table varchar(50),
@editfield varchar(50),
@editcontent varchar(50),
@keyfield varchar(50),
@keycontent varchar(50)
)as
exec('update '+@table+' set '+@editfield+'='+@editcontent+'
where '+@keyfield+'='+@keycontent)

oracle存储过程超详细使用手册，内容很详细，绝对受用

android之利用SQLite数据库实现登陆和注册，使用SQLiteOpenHelper抽象类建立数据库，建立数据库类DatabaseHelper，写业务类实现查询和插入

数据库开发维护性能调优备份还原各种复杂问题的解决方案这时对CSDN上出现的很多问题的解决方案的总结免费分享大家多多下载哦

MySQL_5.1_HTML_chapter.rar_详细手册(html版)，内容详细，主要部分：13. SQL语句语法、18. 分区、A. 问题和常见错误

在上一篇SpringMVC基础教程的源码基础上增加了文件上传，多文件上传