我有一个PL/SQL脚本,想要将其中使用的表名设置为变量。因此,我按照网上的一些示例编写了下面的代码。第一部分是可行的,所以我认为我的语法是正确的,但是第二部分,在尝试使用表名变量时会出现错误("SQL Error: ORA-00903: invalid table name")。
有人知道我做错了什么吗?我不经常使用PL/SQL,所以可能是我遗漏了一些显而易见的东西。
--works
variable numOfrecords number;
exec :numOfrecords := 10;
select * from customers2008 where rownum < :numOfrecords;
--does not work
variable tableNm CHAR;
exec :tableNm := 'customers2008';
print tableNm;
select * from :tableNm;
如果您是从sqlplus运行此脚本(似乎是这种情况),则要使用DEFINE命令,该命令允许您创建sqlplus替换变量,这些变量仅是直接字符串替换,例如:
define tableNm = 'customers2008'
select * from &tableNm;
请参考 使用 Sql*Plus 获取有关如何使用这些内容的更多信息。您可以通过预定义的位置替换变量从命令行传递值到脚本中,方法如下:
define tableNm = &1
select * from &tableNm;
然后像这样调用sqlplus:
sqlplus user/pwd@server @myscript.sql customers2008
sqlplus user/pwd@server @myscript customers2008。 - Dave Costa你需要做类似这样的事情:
EXECUTE IMMEDIATE 'select * from ' || tableNm;
这是因为Oracle不允许绑定变量用于表格(或任何其他对象名称)。
使用EXECUTE IMMEDIATE方法存在重大的安全隐患:当tableNm值由用户提供时,您将面临SQL注入攻击的风险。
替换变量是如何工作的:
SQL> select * from &table_name;
Enter value for table_name: dual
old 1: select * from &table_name
new 1: select * from dual
D
-
X
VARIABLE tableNm CHAR;
VARIABLE cur REFCURSOR;
EXEC :tableNm := 'customers2008';
DECLARE
v_sql VARCHAR2(200) := 'SELECT * FROM ' || DBMS_ASSERT.QUALIFIED_SQL_NAME(:tableNm);
BEGIN
OPEN :cur FOR v_sql;
END;
/
PRINT :cur