Динамический SQL с параметрами

Question

У меня есть SQL-запрос, хранящийся в таблице, содержащей имена параметров. Мне нужно знать, как правильно его выполнять в хранимой процедуре.

Это мой SQL-код в процедуре

PROCEDURE [spMassUpdateSKUs] 
@SKU AS NVARCHAR(20) 
,@FIELD AS NVARCHAR(50) 
,@VALUE AS NVARCHAR(50) 
,@RESULT as Int = Null Output 
AS 
BEGIN 
IF EXISTS(SELECT CODENUMBER FROM INVENTORY_MASTER WHERE CODENUMBER=@SKU) 
    BEGIN 
    DECLARE @SQLQUERY AS NVARCHAR(50) 
    SET @SQLQUERY=(SELECT SQLUPDATE FROM MASS_UPDATE WHERE DROPDOWNLABEL=@FIELD) 
    EXEC SP_EXECUTESQL @SQLQUERY 
    END 

и это SQL запрос из таблицы

update inventory_master_flex set departmentid=@value where codenumber=@sku 

Я попытался заменить с реальными параметрами, но этой doen't работы ,

SELECT REPLACE(REPLACE(@SQLQUERY,'@VALUE',@VALUE),'@SKU',@SKU) 

Answer 1

-- 50 is too short for sure; you may try 1000 or different number 
DECLARE @SQLQUERY AS NVARCHAR(MAX) 

-- for debug purpose 
PRINT @SQLQUERY 

-- params 
EXEC SP_EXECUTESQL @SQLQUERY, N'@Value NVARCHAR(50), @sku NVARCHAR(50)`, @Value, @sku 

REPLACE не хорошо в случае строк с кавычками и так далее, которые бы тормоза кода @sqlquery.

Answer 2

Передайте параметры при помощи sp_executesql, не replace():

IF EXISTS(SELECT CODENUMBER FROM INVENTORY_MASTER WHERE CODENUMBER=@SKU) 
    BEGIN 
     DECLARE @SQLQUERY AS NVARCHAR(MAX); 

     SET @SQLQUERY = (SELECT SQLUPDATE FROM MASS_UPDATE WHERE DROPDOWNLABEL = @FIELD); 

     EXEC SP_EXECUTESQL @SQLQUERY, N'@SKU VARCHAR(255), @VALUE VARCHAR(255)', @SKU = @SKU, @VALUE = @VALUE 
    END; 

Я не знаю, что типы. Но если один или оба являются строками или датами, тогда вам понадобятся одинарные кавычки в вашей реализации. Тем не менее, вы уже используете sp_executesql, так что отправляйтесь целиком и передавайте параметры.