Хранится синтаксис процедуры Error (MSSQL)

Question

Ниже упомянутой хранимой процедуры дает ошибку при создании

Msg 156, Level 15, State 1, Procedure crosstab, Line 23 
Incorrect syntax near the keyword 'pivot'. 

Может кто-нибудь пожалуйста, скажите мне ошибку?

Ниже приведен сценарий:

CREATE PROCEDURE crosstab 
@select varchar(8000), 
@sumfunc varchar(100), 
@pivot varchar(100), 
@table varchar(100) 
AS 

DECLARE @sql varchar(8000), @delim varchar(1) 
SET NOCOUNT ON 
SET ANSI_WARNINGS OFF 

EXEC ('SELECT ' + @pivot + ' AS pivot INTO ##pivot FROM ' + @table + ' WHERE 1=2') 
EXEC ('INSERT INTO ##pivot SELECT DISTINCT ' + @pivot + ' FROM ' + @table + ' WHERE ' 
+ @pivot + ' Is Not Null') 

SELECT @sql='', @sumfunc=stuff(@sumfunc, len(@sumfunc), 1, ' END)') 

SELECT @delim=CASE Sign(CharIndex('char', data_type)+CharIndex('date', data_type)) 
WHEN 0 THEN '' ELSE '''' END 
FROM tempdb.information_schema.columns 
WHERE table_name='##pivot' AND column_name='pivot' 

SELECT @sql=@sql + '''' + convert(varchar(100), pivot) + ''' = ' + 
stuff(@sumfunc,charindex('(', @sumfunc)+1, 0, ' CASE ' + @pivot + ' WHEN ' 
+ @delim + convert(varchar(100), pivot) + @delim + ' THEN ') + ', ' FROM ##pivot 

DROP TABLE ##pivot 

SELECT @sql=left(@sql, len(@sql)-1) 
SELECT @select=stuff(@select, charindex(' FROM ', @select)+1, 0, ', ' + @sql + ' ') 

EXEC (@select) 
SET ANSI_WARNINGS ON 

Answer 1

Это выглядит как процедура, первоначально используемой для SQL Server 2000, где pivot не было ключевым словом. Измените нижеследующий раздел, чтобы вместо этого использовать [pivot].

SELECT @sql=@sql + '''' + convert(varchar(100), [pivot]) + ''' = ' + 
stuff(@sumfunc,charindex('(', @sumfunc)+1, 0, ' CASE ' + @pivot + ' WHEN ' 
+ @delim + convert(varchar(100), [pivot]) + @delim + ' THEN ') + ', ' FROM ##pivot 

Вы, вероятно, следует также использовать sysname тип данных для параметра @table используйте функцию quotename при конкатенации имен таблиц и столбцов и использовать NVARCHAR вместо VARCHAR.

Все эти предложения направлены на сокращение возможностей SQL-инъекций, а также на разрешение нестандартных имен объектов. В настоящее время sysname - nvarchar(128). Используя sysname вместо nvarchar(128), вам не придется обновлять процедуру, если это изменится в будущей версии.

Использование varchar(100) означает, что ваша процедура не сможет обрабатывать (действительные) имена объектов более 100 символов. А также не может обрабатывать допустимые имена, содержащие нестандартные символы.

Следующая is allowed in SQL Server

CREATE TABLE "╚╦╩╗" ("└┬┴┐" nvarchar(10)) 

Даже если вы только имя таблиц и столбцов с помощью ASCII-символов держать ваши параметры и переменные юникодом предотвратит такие вопросы, как ʼ символ (U + 02BC) беззвучно преобразуется в регулярный апостроф.

quotename гарантирует, что если у вас есть какие-либо столбцы Robert'); DROP TABLE Students;, они будут правильно экранированы как [Robert'); DROP TABLE Students;], а также будут иметь дело с любыми встроенными квадратными скобками в именах объектов.

Answer 2

Pivot - ключевое слово SQL. Поэтому вам нужно заключить его в квадратные скобки.