Création Procédure stockée

**divxovore** · 12/05/2012, 18h35

Bonjour,

j'aimerais créer une procédure stockée unique qui ajoute des données dans une table ,
J'envoie en paramètres le nom de ma table(Tablename) ainsi que la valeur à y ajouter (description).

CREATE PROCEDURE ADD_INFOS
@Tablename varchar (20), @Description varchar (30)
as
INSERT INTO @Tablename (@Tablename)
VALUES(@category)
GO

J'ai essayer de construire cette procédure de cette facon mais SQLserver me renvoie une erreur de ce type:
Msg 102, Niveau 15, État 1, Procédure ADD_INFOS, Ligne 4
Syntaxe incorrecte vers '@Tablename'.

Merci d'avance.

**SQLpro** · 12/05/2012, 21h27

Il y a déjà une erreur de syntaxe dans votre procédure :

vous passez les argument : @Tablename et @Description
et vous utilisez une variable non préalablement définie : @category

Ensuite vous utilisez un type inadéquat pour le nom de votre table. En effet varchar (20) est largement insuffisant en longueur et d'un type inadapté. En effet les noms d'objets dans une base peuvent avoir jusqu'à 128 caractères (norme SQL respectée par MS SQL Server) et sont du type NVARCHAR.

Enfin, une variable ne peut apparaitre dans une requête que là ou l'on place une valeur. Or un nom d'objet, table ou vue, n'est pas une valeur !
Vous ne pouvez donc pas placer ici une variable.

Néanmoins, vous pouvez utiliser du SQL dynamique pour construire votre requête en l'assemblant à partir de différents morceaux de chaines de caractères.
Comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
CREATE PROCEDURE ADD_INFOS
                 @Tablename nvarchar (128), 
                 @category varchar (30)
AS
DECLARE @SQL NVARCHAR(max);
SET @SQL = 'INSERT INTO [' + @Tablename +'] VALUES (' + @category +');'
EXECUTE (@SQL);
GO

En sus il faut savoir de quel type est la valeur que vous mettez dans la clause VALUES, car les chaines de caractères doivent être entourées d'apostrophes et s'il existe des apostrophes dans la chaine les dédoubler. Pour les nombres, pas d'espace.... Par exemple si c'est une chaîne il faudra coder votre procédure comme suit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
CREATE PROCEDURE ADD_INFOS
                 @Tablename nvarchar (128), 
                 @category varchar (30)
AS
DECLARE @SQL NVARCHAR(max);
SET @SQL = 'INSERT INTO [' + @Tablename +'] VALUES (''' +  REPLACE(@category, '''', '''''') +''');'
EXECUTE (@SQL);
GO

Et pour éviter la possibilité d'une attaque par injection de SQL, je vous conseille de tester préalablement votre paramètre pour savoir si ce qui est passé est bien une table ou une vue existante dans la base, comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
CREATE PROCEDURE ADD_INFOS
                 @Tablename nvarchar (128), 
                 @category varchar (30)
AS
IF NOT EXISTS(SELECT * 
              FROM   INFORMATION_SCHEMA.TABLES 
              WHERE  TABLE_NAME = @Tablename)
   RETURN
DECLARE @SQL NVARCHAR(max);
SET @SQL = 'INSERT INTO [' + @Tablename +'] VALUES (''' +  REPLACE(@category, '''', '''''') +''');'
EXECUTE (@SQL);
GO

Pour couronner le tout, une table ce n'est pas un simple nom, c'est d'abord un préfixe de schéma (à défaut dbo) suivi d'un nom, le tout séparé par un point. En conclusion, votre procédure devrait être la suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
CREATE PROCEDURE ADD_INFOS
                 @SchemaName nvarchar (128),
                 @TableName nvarchar (128), 
                 @category varchar (30)
AS
IF NOT EXISTS(SELECT * 
              FROM   INFORMATION_SCHEMA.TABLES 
              WHERE  TABLE_NAME = @TableName
                AND  TABLE_SCHEMA = @SchemaName)
   RETURN
DECLARE @SQL NVARCHAR(max);
SET @SQL = 'INSERT INTO [' + @SchemaName + '].[' 
         + @TableName + '] VALUES (''' 
         +  REPLACE(@category, '''', '''''') +''');'
EXECUTE (@SQL);
GO