我想制作更新表的列的更新过程取决于参数。
这是否可以根据输入参数更新字段?
这是我制作的示例程序:
CREATE OR REPLACE PROCEDURE procedure(parameter in varchar2)
IS errormessage varchar2(255);
BEGIN
UPDATE table
SET table.parameter = 'newvalue'
END;
它不起作用。 请帮忙。
【问题讨论】:
parameter 是需要更新的列。你想将所有列硬编码为newvalue吗?
标签: oracle parameters procedure
编辑:处理的 SQL 注入场景。
您需要execute immediate,因为parameter 将用作列名。
注意:请记住,您正在运行没有 where 子句的 update 语句,它将更新所有行。
您也不能传递数字列名,因为值 newvalue 是一个字符串。所以如果你想处理它,那么在运行更新语句之前使用 if else 条件并检查列数据类型。
CREATE OR REPLACE PROCEDURE proc12(column_name in varchar2)
IS
v_count integer;
BEGIN
select count(*) into v_count from (select column_name as txt from dual) where regexp_like (txt,'[,|=|;]');
if v_count =0 then
execute immediate 'UPDATE tbl1 SET '||column_name||' = ''newvalue''';
else
dbms_output.put_line('SQL Injection detected. Exiting');
end if;
END;
select * from tbl1;
+------+
| col1 |
+------+
| abc |
| pqr |
| xyz |
+------+
call proc12('col1');
select * from tbl1;
+----------+
| col1 |
+----------+
| newvalue |
| newvalue |
| newvalue |
+----------+
call proc12('balance=10000, col1');
SQL Injection detected. Exiting
【讨论】:
execute immediate 'UPDATE tbl1 SET '||column_name||' = :val' USING newvalue;
call proc12('balance=10000, col1') 会将所有行的余额更新为 10000。