Procédure stockée SQL Server si chaîne d'injection d'instructions

Question

Utilisation de SQL Server J'essaie d'injecter une chaîne dans une instruction SQL basée sur une instruction if, notez que j'essaie de l'accomplir dans une procédure stockée.

Je reçois actuellement une erreur pour ce code:

Declare @topString varchar(240) 

IF @topRecords > 0 
SET @topString = 'top 500' 
ELSE 
SET @topString = '' 

SELECT @topString * FROM(//incorrect syntax near FROM 

SELECT top 500 c.Id as [Customer Id],.... 
    UNION 
    SELECT top 500 c.Id as [Customer Id],.... 
)as table1 
Order by 1 desc 

Modifier

if somethingTrue 
@whereCondition = '1 = 1 ' 
else 
@whereCondition = branch = @branch 

select * from table 
where @whereCondition AND etc... 

Correct

pour injection à l'intérieur d'une instruction if aller avec Jodrell
mais si vous avez besoin d'un top dynamique alors aller avec ce qui a été suggéré par Kaf.
merci à la fois pour l'aide!

Answer 1

Vous ne pouvez pas injecter des parties d'instructions en tant que variables, mais vous pouvez modifier la plupart des valeurs des paramètres. Avoir une procédure stockée effectuer des opérations qui peuvent nécessiter des plans de requête différents, basé sur un paramètre est une mauvaise idée, les résultats de ce SP pourraient varier fortement en fonction de la valeur du paramètre @topRecords. Vous devez utiliser l'option RECOMPILE pour avertir le moteur de recherche, ce qui réduit considérablement les avantages des fournisseurs de services. Avez-vous envisagé d'avoir deux procédures stockées?

Si vous voulez le faire de manière dynamique, vous pouvez construire l'ensemble de l'instruction dynamiquement, en faisant une grande chaîne, puis l'exécuter.

Vous devez rechercher en utilisant sp_executesql pour exécuter le string/VarChar. Ensuite, les requêtes similaires bénéficieront de la réutilisation du plan de requête.

Comme toujours Sommarskog est un good reference.

---

Quelque chose comme ça

DECLARE @topString varchar(240); 
DECLARE @statement varchar(max); 

IF @topRecords > 0 
    SET @topString = 'TOP 500'; 
ELSE 
    SET @topString = ''; 

SET @statement = 'SELECT ' + @topString + ' * FROM 
    (
     SELECT TOP 500 c.Id as [Customer Id], .... 
     UNION 
     SELECT TOP 500 c.Id as [Customer Id], .... 
    ) table1 
    ORDER BY 1 DESC' 

/* Then execute @statement */ 
EXEC sp_executesql @statement 

Answer 2

Si vous voulez decide number of top records depending on @topRecords, vous pouvez le faire en utilisant un INT ou BIGINT en fonction du nombre d'enregistrements nécessaires.

DECLARE @top INT --This is declared as an int here 

IF @topRecords > 0 
    SET @top = 500 
ELSE 
    SET @top = 5000000 --Make it more than records if you need all 
           --or make it 0 if no records needed. 
           --@top has to be >=0 

--How to use it 
SELECT TOP (@top) * FROM YourTable 

EDIT: Votre question avait seulement une injection par le haut au départ. Cependant, si vous avez besoin de plus d'injections (selon votre question récente éditer) alors je suggère d'utiliser une requête dynamique selon @Jordell's answer.