Блог

У меня есть хранимая процедура, которая будет выполнять поиск по всей базе данных. Это процедура

   CREATE PROCEDURE spGetSearchResults
    @table varchar(50) = null,
    @case varchar(50) = null,
    @value varchar(100) = null
as

exec('Select * from '   @table   ' WHERE '   @case   'like ''%'  @value  '%''')
  

Но по какой-то причине это выдает мне ошибку Неправильного синтаксиса рядом с ‘% (текст значения)%’

но если я выполняю обычную инструкцию select с жестко заданными значениями, тогда она работает нормально

Вам не хватает некоторого пробела. Поставьте пробел перед like …

 exec('Select * from '   @table   ' WHERE '   @case   ' like ''%'  @value  '%''')
  

Тем не менее, эта процедура поднимает флаг sql-инъекции…

Вот в чем проблема. Вам нужно добавить пробел перед вашим like предложением. Это должно сделать это для вашего exec() вызова:

 exec('Select * from '   @table   ' WHERE '   @case   ' like ''%'  @value  '%''')
  

Несколько комментариев:

1. Выполнять подобный код — очень плохая практика. Ваша хранимая процедура подвержена атакам с использованием SQL-инъекций
2. Не делайте select * from ... этого, это антипаттерн. Вы должны получить список именно тех столбцов, которые вам нужны из таблицы. Несколько преимуществ: повышает производительность, улучшает читаемость, позволяет избежать непредвиденных ошибок, если кто-то добавляет / удаляет столбцы в таблицу, а вы выполняете insert into table select * ...

Ваш процесс в его нынешнем виде сам по себе не содержит синтаксических ошибок, но вы получаете синтаксические ошибки при его вызове, потому что забыли пробел после @case , поэтому он печатает что-то вроде:

Выберите * из текста, ГДЕ textlike ‘%text%’