Ошибка при объявлении параметра в хранимой процедуре

Question

Я пытаюсь создать хранимую процедуру, которая использует переменное количество параметров. Поскольку я довольно новичок в написании хранимых процедур и TSQL в целом, я решил попробовать и написать его только с одним параметром. Тем не менее, я продолжаю получать сообщение об ошибке «Должен объявить скалярную переменную @FirstName» при попытке выполнить ее. Прямо сейчас я пытаюсь сохранить инструкцию SQL в другой переменной @sql. Моя процедура выглядит следующим образом:

ALTER PROCEDURE [dbo].[GetEmployeeByParameters] 
(@FirstName varchar(50)) 

AS 

BEGIN 

    DECLARE @sql AS NVARCHAR(4000) 
    SET @sql = 'SELECT e.* from Employee e 
       WHERE e.FirstName = @FirstName' 
    EXEC (@sql) 
END 

Я посмотрел в другом месте и попытался EXEC sp_execute @sql, который не работал. Как ни странно, что работает, когда я не объявляю переменную @sql и вместо этого просто пишу свой запрос нормально. Поскольку это так, я предполагаю, что есть некоторая ошибка в моем использовании функций SET и EXEC. Я также не уверен на 100%, что я правильно использую BEGIN и END. Я понял, что BEGIN и END разделяют SQL-запросы на логические блоки и, следовательно, чаще используются, когда IF входит в игру. Может ли кто-нибудь сказать мне, что именно происходит с моим параметром здесь? Меня действительно путают, почему SQL Server считает, что он не объявлен.

Answer 1

Variabl e должен находиться вне кавычек.

SET @sql = N'SELECT e.* from Employee e 
      WHERE e.FirstName = ''' + @FirstName + '''' 

Или, еще лучше, запустите его без динамического SQL.

SELECT e.* 
    from Employee e 
    WHERE e.FirstName = @FirstName 

Answer 2

Поскольку

'Select ... @FirstName' 

не то же самое, как

Select ... @FirstName 

One является строка, а другой является SQL Query

Что вы должны сделать вместо этого

ALTER PROCEDURE [dbo].[GetEmployeeByParameters] 
(@FirstName varchar(50)) 

AS 

BEGIN 

    DECLARE @sql AS NVARCHAR(4000) 
    SET @sql = 'SELECT e.* from Employee e 
       WHERE e.FirstName = ''' + @FirstName + '''' 
    EXEC (@sql) 
END 

Answer 3

Вы должны изменить свой запрос на следующее в качестве переменной @Firstname не в объеме:

ALTER PROCEDURE [dbo].[GetEmployeeByParameters] 
(@FirstName varchar(50)) 

AS 

BEGIN 

    DECLARE @sql AS NVARCHAR(4000) 
    SET @sql = 'SELECT e.* from Employee e 
       WHERE e.FirstName = ''' + @FirstName + '''' 
    EXEC (@sql) 
END 

Answer 4

Используйте это тело, без "динамический" запрос

ALTER PROCEDURE [dbo].[GetEmployeeByParameters] 
(@FirstName varchar(50)) 

AS 

BEGIN 

    SELECT e.* from Employee e 
       WHERE e.FirstName = @FirstName 
END 

OR

с использованием динамического запроса не включает variabl в его скрипте - соедините их со сценарием и не забудьте правильно процитировать их.

Answer 5

Когда вы выполняете динамический sql, вы переключаете контексты, а переменные не перемещаются между контекстами. Когда вы объявляете инструкцию SQL в виде строки, для ее распознавания должна быть указана всякая строка, чтобы она распознала ее.

Очевидно, что вам не нужно динамический SQL в этом случае, но как только метод делает это так:

ALTER PROCEDURE [dbo].[GetEmployeeByParameters] 
    (@FirstName varchar(50))  
AS 
     BEGIN 
      DECLARE @sql AS NVARCHAR(4000) 
     SET @sql = 'SELECT e.* from Employee e 
        WHERE e.FirstName = @FirstName' 
     EXEC sp_executeSQL @sql, N'@Firstname varchar(50)', @FirstName 
    END 

sp_executesql позволяет объявлять внутренние параметры (второе предложение), а также снабжать их со значениями (последнее предложение).

Answer 6

Поскольку это запрос типа поиска, который вы делаете с переменным числом параметров, вам нужно построить строку по-разному - вы на правильных строках, чтобы она была динамичной, но вы также необходимо избегать инъекций SQL-инъекций (google «Little Bobby Tables»). Таким образом, вы должны использовать параметризованный динамический оператор SQL:

ALTER PROCEDURE [dbo].[GetEmployeeByParameters] 
    @FirstName VARCHAR(50) 
AS 
BEGIN 
    DECLARE @sql AS NVARCHAR(4000) 

    SET @sql = 'SELECT e.* FROM Employee e WHERE 1 = 1' 
    IF @FirstName IS NOT NULL 
    BEGIN 
     SET @sql = @sql + ' AND FirstName = @pFirstName' 
    END 
    -- More IF statements, building up the query 

    EXEC sp_ExecuteSQL @sql, N'@pFirstName VARCHAR(50)', @FirstName 

Второй и третий PARAMS картированию параметра @FirstName для «внутренних» параметров в запросе (который я обычно префикс с «р» или «парами» просто чтобы отличить их от собственных параметров хранимой процедуры).

Вы продлеваете sp_Exceute по мере необходимости каждый раз, когда вы добавляете новый параметр для поиска по, так что вы могли бы в конечном итоге делаете:

EXEC sp_ExecuteSQL @sql,' N' 
       @pFirstName VARCHAR(50), 
       @pSurName  VARCHAR(50), 
       @pDateOfBirth DATETIME', @FirstName, @Surname, @DateOfBirth