| From: | Alvaro Herrera <alvherre(at)alvh(dot)no-ip(dot)org> |
|---|---|
| To: | Alejandro Carrillo <fasterzip(at)yahoo(dot)es> |
| Cc: | Gilberto Castillo <gilberto(dot)castillo(at)etecsa(dot)cu>, Ayuda <pgsql-es-ayuda(at)postgresql(dot)org> |
| Subject: | Re: SQL dinamico con parametros |
| Date: | 2012-05-09 18:41:08 |
| Message-ID: | 1336588688-sup-2184@alvh.no-ip.org |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Thread: | |
| Lists: | pgsql-es-ayuda |
Excerpts from Alejandro Carrillo's message of mié may 09 14:27:46 -0400 2012:
> Si, pero como puedo crear una function q ejecute el execute immediate de tal forma que el numero de parámetros sea variable y evitando inyeccion sql?
Crea varias, una con cada número específico de argumentos. El principal
problema es cómo especificar que cada argumento puede tener un tipo
distinto. No puedes usar anyelement porque eso significaría que todos
los parámetros tendrían que tener el mismo tipo (por ej. podrías pasar
int,int o text,text pero no int,text). O podrías usar text y asumir
que todos los parámetros son convertibles desde y hacia text (una
suposición generalmente segura pero incómoda). O bien podrías
escribirlo en C y usar tipo "any".
--
Álvaro Herrera <alvherre(at)alvh(dot)no-ip(dot)org>
| From | Date | Subject | |
|---|---|---|---|
| Next Message | Gilberto Castillo Martínez | 2012-05-09 18:45:25 | RE: Consultar con Crosstab |
| Previous Message | Alejandro Carrillo | 2012-05-09 18:27:46 | Re: SQL dinamico con parametros |