【发布时间】:2014-05-16 02:58:39
【问题描述】:
我已经编写了简单的存储过程并使用 sp_executesql 执行以解决引号错误和 sql 注入,但是当我在参数中传递单引号时,它仍然显示Unclosed quotation mark after the character string ''.
alter procedure dbo.quote_test
(
@quoteid int
)
as
begin
declare @sqlstring as nvarchar(max)
declare @paramdef as nvarchar(100)
set @sqlstring = 'select * from quote where quote_id = @quoteid';
set @paramdef = N'@quoteid int';
exec sp_executesql @sqlstring,@paramdef, @quoteid
end
exec dbo.quote_test 10'
【问题讨论】:
-
此页面在 Google 搜索中排名靠前...您能否选择以下哪项回答了问题...或告诉我们您的解决方案?
标签: sql sql-server sql-server-2008 sp-executesql