Ошибка TSQL «Неверное имя столбца» при значении параметра sproc

Question

вот мой код:

DECLARE @SQL varchar(600)

SET @SQL = 
'SELECT     CategoryID, SubCategoryID, ReportedNumber
FROM    tblStatistics
WHERE   UnitCode = ' + @unitCode +
' AND   FiscYear = ' + @currYEAR

EXEC (@SQL)

При запуске этого sproc с unitCode = 'COB' и currYEAR = '10' я получаю следующую ошибку:

Invalid column name 'COB'.

Кто-нибудь знает почему?

ТНХ!

Answer 1

Это хорошая уязвимость в SQL-инъекции.

Начните с того, чтобы переписать его таким образом, используя параметры связывания:

DECLARE @SQL nvarchar(4000)

SET @SQL =
    'SELECT CategoryID, SubCategoryID, ReportedNumber ' +
    'FROM tblStatistics ' +
    'WHERE UnitCode = @UnitCode ' +
    'AND FiscYear = @CurrYear'

EXEC sp_executesql
    @SQL,
    '@UnitCode varchar(10), @CurrYear int',
    @UnitCode = 'COB',
    @FiscYear = 10

Answer 2

Вам нужно поместить кавычки вокруг значений в SQL:

'SELECT     CategoryID, SubCategoryID, ReportedNumber
FROM    tblStatistics
WHERE   UnitCode = ''' + @unitCode +
''' AND   FiscYear = ''' + @currYEAR + ''''

Answer 3

Если мы можем предположить, что UnitCode является полем VARCHAR, вам нужно добавить кавычки вокруг переменной @unitcode.

DECLARE @SQL varchar(600) 

SET @SQL =  
'SELECT     CategoryID, SubCategoryID, ReportedNumber 
 FROM    tblStatistics 
 WHERE   UnitCode = ''' + @unitCode + ''''
' AND   FiscYear = ' + @currYEAR 

EXEC (@SQL) 

Answer 4

В ваших кавычках нет кавычек - SQL по сути видит

WHERE UnitCode = COB

и COB не должны быть столбцом. Но почему вы строите SQL таким образом? Почему не

SELECT CategoryID, SubCategoryID, ReportedNumber
  FROM tblStatistics
 WHERE UnitCode = @unitCode
   AND FiscYear = @currYear