Discussion :

[zebrette]

Bonjour,

J'essaie de faire une procédure stockée (MSSQL 2008 Express) qui permettrait de créer une nouvelle colonne dans une table.

Le nom de la table et le nom de la colonne doivent être des paramètres que l'utilisateur spécifie. Je croyais que cette opération serait très simple et c'est en fait devenu un vrai casse tête.

Le code que j'essaie

CREATE PROCEDURE TestStoredProc
@TableName nvarchar(10), @NewColumnName nvarchar(10)
AS
BEGIN
ALTER TABLE @TableName
ADD @NewColumnName real
END
GO

il semble que les paramètre @tablename et @newcolumnname ne soit pas du bon type...
Je précise que je préfèrerais éviter la solution concaténée du type
"ALTER TABLE" + @TableName + " ADD " + @NewColumnName + " real" pour les problèmes d'injection malveillante.

merci de votre aide,

Zebrette

[SQLpro]

Il n'y a pas d'autres solution que du SQL dynamique. En effet un nom d'objet ne peut pas être un paramètre d'un ordre SQL.

A +

[zebrette]

Ok, merci.

C'est ce que j'avais fini par conclure. Mais le "risque" initial d'injection que j'évoquais serait en fait exactement le même si la syntaxe ci-dessus avait fonctionné (et reste limité tant que mes paramètres sont dimensionnés), donc pas de regret.

Je trouvais juste que cette syntaxe concaténée (SQL dynamique?) n'était pas très classe.

[SQLpro]

pour éviter l'injection de SQL, il suffit de tester ses variables. Pr exemple pour un nom de table vérifier son existence dans la vue INFORMATION_SCHEMA.TABLES. De même pour une colonne (INFORMATION_SCHEMA.COLUMNS).

A +

[zinzineti]

Bonjour,

J'essaie de faire une procédure stockée (MSSQL 2008 Express) qui permettrait de créer une nouvelle colonne dans une table.

Le nom de la table et le nom de la colonne doivent être des paramètres que l'utilisateur spécifie. Je croyais que cette opération serait très simple et c'est en fait devenu un vrai casse tête.

Le code que j'essaie

CREATE PROCEDURE TestStoredProc
@TableName nvarchar(10), @NewColumnName nvarchar(10)
AS
BEGIN
ALTER TABLE @TableName
ADD @NewColumnName real
END
GO

il semble que les paramètre @tablename et @newcolumnname ne soit pas du bon type...
Je précise que je préfèrerais éviter la solution concaténée du type
"ALTER TABLE" + @TableName + " ADD " + @NewColumnName + " real" pour les problèmes d'injection malveillante.

merci de votre aide,

Zebrette

Ceci devrait marcher

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
CREATE PROCEDURE TestStoredProc 
@TableName nvarchar(10), 
@NewColumnName nvarchar(10)	
AS
DECLARE @SQL VARCHAR(max);
SET @SQL = 'ALTER TABLE ' + @TableName + ' ' + 'ADD' + ' ' + @NewColumnName + ' real '
EXEC (@SQL)

A+