create procedure S_storecount
(
@userid int,
@result int
)
as
declare sql varchar(4000)
set @sql = ‘select '+@result+'=count(*) from users where userid='+cast(@userid as varchar(10))
exec(@sql)
go如上,请问我该如何给注入式sql里的@result赋值呢???
解决方案 »
- 获取客户端IP地址
- 一个空间 两个小网站
- asp.net处理word
- 另一个网页跳转到另一个网页框架页面的问题
- +++++++有大哥在吗,请教个很简单的问题 ?ntext类型的数据为什么不能用string表示???
- 如果数据库中表的记录很长有10万条,返回到dataset站用内存大又慢怎麽解决?
- 一个经典而有挑战性的打分问题?
- ASP.NET如何以特殊的用户名和密码取访问映射的网络驱动器
- 如何调用.vb文件中的IsNumeric和Trim函数。
- JSON传值求助!急!!!!
- 求一sql删除字符算法,o(∩_∩)o...
- vs2005连接SQL的问题,安装VS2005时没装SQL2005可以吗?
id.value = userid ;
myCommand.Parameters.Add(id);SqlParameter result = new SqlParameter("@result",SqlDbType.int,20);
result.value = resultVal ;
myCommand.Parameters.Add(result);
create procedure S_storecount
(
@userid int,
@result int output -- ?
)
as
declare sql varchar(4000)
set @sql = ' select '+@result+' =count(*) from users where userid='+cast(@userid as varchar(10))
exec(@sql)
go
set @sql = ' select '+ cast(@result as varchar(10))+' =count(*) from users where userid='+cast(@userid as varchar(10))还有就是 @result应该转换成varchar类型,
1 :普通SQL语句可以用Exec执行 eg: Select * from tableName
Exec( 'select * from tableName ')
Exec sp_executesql N 'select * from tableName ' -- 请注意字符串前一定要加N 2:字段名,表名,数据库名之类作为变量时,必须用动态SQL eg:
declare @fname varchar(20)
set @fname = 'FiledName '
Select @fname from tableName -- 错误,不会提示错误,但结果为固定值FiledName,并非所要。
Exec( 'select ' + @fname + ' from tableName ') -- 请注意 加号前后的 单引号的边上加空格 当然将字符串改成变量的形式也可
declare @fname varchar(20)
set @fname = 'FiledName ' --设置字段名 declare @s varchar(1000)
set @s = 'select ' + @fname + ' from tableName '
Exec(@s) -- 成功
exec sp_executesql @s -- 此句会报错
declare @s Nvarchar(1000) -- 注意此处改为nvarchar(1000)
set @s = 'select ' + @fname + ' from tableName '
Exec(@s) -- 成功
exec sp_executesql @s -- 此句正确 3. 输出参数
declare @num int, @sql nvarchar(4000)
set @sql= 'select count(*) from tableName '
exec(@sql)
--如何将exec执行结果放入变量中? declare @num int, @sql nvarchar(4000)
set @sql= 'select @a=count(*) from tableName '
exec sp_executesql @sql,N '@a int output ',@num output
select @num