动态 sql 给出语法错误。

Question

我正在执行以下 sql。我收到一个语法错误（'=' 附近的语法不正确） 查询执行良好，并在正常执行时给出正确的结果。无法理解。请看一下。

DECLARE @pvchMachineId VARCHAR(100)  = ''

DECLARE @pvchMake VARCHAR(100) = ''

DECLARE @sql NVARCHAR(1000)

SELECT @sql = ' SELECT TOP 20 x.intId, x.vchMachineId, x.AUDenom, x.intGroupId,

x.vchMake, x.vchModel, x.mCurrency

from dbo.Machine x

inner join
(select max(m1.AUDenom) as audenom, m1.vchMachineId

from dbo.Machine m1
left JOIN dbo.ImportedFile ife on m1.intImportedFileId = ife.intId
WHERE ife.dtFileDate >= ''1-1-2013'' AND ife.dtFileDate <= ''1-29-2014'' AND

--following two lines cause the error

(' + @pvchMake + '= ''0'' OR m1.vchMake = @pvchMake) AND

(' + @pvchMachineId +'= ''0'' OR m1.vchMachineId = @pvchMachineId)

group by vchMachineId) y

on x.AUDenom = y.audenom and x.vchMachineId = y.vchMachineId 
ORDER BY x.AUDenom DESC'

Answer 1

将您的查询更新为以下内容

(@pvchMake = ''0'' OR m1.vchMake = @pvchMake) AND
(@pvchMachineId = ''0'' OR m1.vchMachineId = @pvchMachineId)

稍后当您执行时，只需将其作为参数传递给 sp_executesql 函数即可。

EXEC sp_executesql @sql
         ,N'@pvchMachineId VARCHAR(100), @pvchMake VARCHAR(100)'
         ,@pvchMachineId,@pvchMake

或者这个更干净

Declare @ParametersDefinition NVARCHAR(max) = N'@pvchMachineId VARCHAR(100), @pvchMake VARCHAR(100)'
EXEC sp_executesql @sql, @ParametersDefinition, @pvchMachineId,@pvchMake

最后，您不想连接动态 SQL 语句，它为 SQL 注入打开了大门。即使这是一个有效的选择，也应该不惜一切代价避免。

Answer 2

此声明：

'(' + @pvchMake + '= ''0'' OR m1.vchMake = @pvchMake)'

将输出，因为变量没有被''以外的任何东西初始化：

(= '0' OR m1.vchMake = @pvchMake)

这在语法上是不正确的。

你应该使用：

'(''' + @pvchMake + '''= ''0'' OR m1.vchMake = @pvchMake)'

哪个会输出：

(''= '0' OR m1.vchMake = @pvchMake)

Answer 3

也许这是有道理的：

...

(''' + @pvchMake + '''= ''0'' OR m1.vchMake = ''' + @pvchMake +''') AND

(''' + @pvchMachineId +'''= ''0'' OR m1.vchMachineId = ''' + @pvchMachineId + ''')
...