Discussion :

[Colon]

Bonjour,
Si vous pouvez me dire simplement ce que je dois faire pour utiliser le nom d'une table (ou d'une vue) comme paramètre de sp_executesql (dans une stored proc.):

DECLARE @tab varchar(50)
SET @tab = 'uneTableQcq'
DECLARE @sql nvarchar(200)
DECLARE @param_def nvarchar(100)
DECLARE @p_tab varchar(50)
SET @sql = N'SELECT * FROM @p_tab;'
SET @param_def = N'@p_tab varchar(50)'
EXECUTE sp_executesql @sql, @param_def, @p_tab=@tab;


Je veux éviter de faire
SET @sql = N'SELECT * FROM' + @tab
pour des raisons de sécurité.

Merci!

[seminoque]

Je ne pense pas que cela soit possible

Pourquoi ne pas créer une procédure stockée pour "cacher" le code SQL ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
CREATE PROCEDURE MaProcedure
    @Matable NVARCHAR(50)
AS
    DECLARE @sql NVARCHAR(100)
    SET @sql = N'SELECT * FROM ' + @Matable
 
    EXECUTE sp_executesql @sql
GO
 
EXECUTE MaProcedure 'Table'

________________________________
Seminoque, créateur de
http://www.bingokaz.com

[Colon]

Je ne voulais pas faire comme tu le propose pour sécuriser le code, surtout pour éviter de se faire "jéoparder" (si je puis dire):

http://blogs.msdn.com/raulga/archive...injection.aspx

[WOLO Laurent]

Cette fonctionnalité a été ajouté dans la version 2008 de sql serveur.
Bon courage