sql >> Databáze >  >> RDS >> Mysql

Předání názvu sloupce jako parametru uložené proceduře v mySQL

Budete muset použít dynamické SQL :

DELIMITER //
CREATE PROCEDURE myDB.edit_myTable(
    IN key CHAR(16), 
    IN col VARCHAR(100), 
    new_value  VARCHAR(200)
)
BEGIN
    SET @s = CONCAT(
        'UPDATE myDB.myTable SET `', 
         col, '` = ', QUOTE(new_value),
         ' WHERE key = ', QUOTE(key)
    );
    PREPARE stmt FROM @s;
    EXECUTE stmt;
    DEALLOCATE PREPARE stmt;
END
//
DELIMITER;

Vezměte prosím na vědomí, že podle komentáře Paul Spiegel , použití proměnné pro název sloupce vytváří riziko vložení SQL. Jedním z řešení pro zlepšení zabezpečení by bylo zajistit, aby byl vstup col existuje v cílové tabulce pomocí informačního schématu MySQL:

DELIMITER //
CREATE PROCEDURE myDB.edit_myTable(
    IN key CHAR(16), 
    IN col VARCHAR(100), 
    new_value  VARCHAR(200)
)
BEGIN
    DECLARE col_exists INT;

    SELECT COUNT(*) INTO col_exists 
    FROM  information_schema.COLUMNS
    WHERE TABLENAME = 'mytable' AND COLUMN_NAME = col;

    IF (col_exists != 1) THEN
        SIGNAL SQLSTATE '45000'
        SET MESSAGE_TEXT = CONCAT('Column ', col, ' does not exist in table mytable');
    END IF;

    SET @s = CONCAT(
        'UPDATE myDB.myTable SET `', 
         col, '` = ', QUOTE(new_value),
         ' WHERE key = ', QUOTE(key)
    );
    PREPARE stmt FROM @s;
    EXECUTE stmt;
    DEALLOCATE PREPARE stmt;
END
//
DELIMITER;



  1. Nainstalujte uloženou proceduru na více databází

  2. Transformace funkčnosti třídy Wrapper

  3. Odstraňte duplicitní řádky z malé tabulky

  4. MySQL:Proč je skóre ve fulltextu vždy 1?