mysql 存储过程 using,MySQL:将过程参数传递给EXECUTE USING语句

This is MySQL 5.1.

(Note: I realize there are better ways of doing this particular example, this is not my real code)

Here is what I want to do:

The below procedure gets created, but when I CALL it, I get "ERROR 1210 (HY000): Incorrect arguments to EXECUTE"

DELIMITER //

CREATE PROCEDURE get_users_by_state(IN state CHAR(2))

READS SQL DATA

BEGIN

SET @mystate = state;

SET @sql = CONCAT('SELECT * FROM test_table WHERE state = "?"');

PREPARE stmt FROM @sql;

EXECUTE stmt USING @mystate;

END;

//

CALL get_users_by_state('AA')//

ERROR 1210 (HY000): Incorrect arguments to EXECUTE

Is there a way to pass the procedure's parameters to the EXECUTE USING statement?

Here is a version that does indeed work, but irks me:

CREATE PROCEDURE get_users_by_state(IN state CHAR(2))

READS SQL DATA

BEGIN

SET @sql = CONCAT('SELECT * FROM test_table WHERE state = "', state, '"')

PREPARE stmt FROM @sql;

EXECUTE stmt;

END;

//

As a side-question, does MySQL have any facilities for escaping strings, like Postgres' quote_literal() and quote_ident()?

For a point of reference, here's something somewhat equivalent for Postgres:

CREATE OR REPLACE FUNCTION get_info_by_state(character)

RETURNS SETOF ret_type AS

$BODY$

DECLARE

sql text;

BEGIN

sql := 'SELECT uid, some_data FROM test_table WHERE state = ' || quote_literal($1);

RETURN QUERY EXECUTE sql;

END

$BODY$

LANGUAGE 'plpgsql' VOLATILE

Thanks!

解决方案

I don't think you need double quotes around the parameter holder.

Update Here, lest there be no misunderstanding:

DELIMITER //

CREATE PROCEDURE get_users_by_state(IN state CHAR(2))

READS SQL DATA

BEGIN

SET @mystate = state;

SET @sql = CONCAT('SELECT * FROM test_table WHERE state = ?');

PREPARE stmt FROM @sql;

EXECUTE stmt USING @mystate;

END;

//

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
可以使用 CONCAT 函数来拼接 SQL 语句,并且使用 PREPARE 和 EXECUTE 语句来执行拼接后的 SQL 语句。 例如,假设需要在存储过程中拼接一个查询语句,该查询语句需要查询一个名为 customers 的表,其中包含 name 和 age 两个字段,查询年龄为 18 岁及以上的用户信息,可以使用以下存储过程: ``` DELIMITER // CREATE PROCEDURE get_customers() BEGIN DECLARE sql_query VARCHAR(255); SET sql_query = CONCAT('SELECT name, age FROM customers WHERE age >= ', 18); PREPARE stmt FROM sql_query; EXECUTE stmt; DEALLOCATE PREPARE stmt; END // DELIMITER ; ``` 在上面的存储过程中,首先声明一个名为 sql_query 的变量,使用 CONCAT 函数将查询语句拼接起来,并将拼接后的 SQL 语句存储到 sql_query 变量中。然后使用 PREPARE 语句准备执行该语句,并使用 EXECUTE 语句执行该语句。最后使用 DEALLOCATE PREPARE 释放 PREPARE 语句的内存。 需要注意的是,在拼接 SQL 语句时,应该使用参数化查询来避免 SQL 注入攻击。在参数化查询中,使用问号占位符代替具体的参数值,然后通过 EXECUTE 语句将参数值传递给查询语句。例如: ``` DELIMITER // CREATE PROCEDURE get_customers_by_age(IN age INT) BEGIN DECLARE sql_query VARCHAR(255); SET sql_query = CONCAT('SELECT name, age FROM customers WHERE age >= ?', age); PREPARE stmt FROM sql_query; EXECUTE stmt USING @age; DEALLOCATE PREPARE stmt; END // DELIMITER ; ``` 在上面的存储过程中,使用 IN 参数 age 来代替查询语句中的参数值,并在 EXECUTE 语句中使用 USING 子句将参数值传递给查询语句。这样可以避免 SQL 注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值