Como usar instruções preparadas nos procedimentos armazenados do MySQL?

16

Estou usando o mysql e preciso usar a curid da coluna retornada pela instrução preparada na consulta posterior. Uso instruções preparadas porque, como eu li, é a única maneira de passar uma variável para a cláusula LIMIT. Eu tenho este procedimento armazenado aqui:

DROP PROCEDURE IF EXISTS fixbalance;
CREATE PROCEDURE fixbalance (userid INT)
  BEGIN
  DECLARE i INT DEFAULT 0;
  DECLARE balance INT DEFAULT 0;
  DECLARE idcnt INT;

  SET idcnt = (SELECT COALESCE(COUNT(id), 0) 
               FROM coupon_operations 
               WHERE user_id = userid);
  IF idcnt <> 0 THEN
    WHILE i <= idcnt DO
      BEGIN
        SET @iter = i;
        SET @user_id = userid; 
        SET @sql = CONCAT('SELECT id AS curid 
                           FROM coupon_operations 
                           WHERE user_id = ? 
                           ORDER BY id ASC 
                           LIMIT ?, 1');
        PREPARE stmt FROM @sql;
        EXECUTE stmt USING @user_id, @iter;
        DEALLOCATE PREPARE stmt;
        SET balance = balance + (SELECT points 
                                 FROM coupon_operations 
                                 WHERE user_id = @user_id 
                                 AND id = @curid);
        UPDATE coupon_operations SET balance = balance;
        SET i = i + 1;
      END;
    END WHILE;
  END IF;
END;
|

Isso não funciona - não sei como passar a curid.

mysql stored-procedures prepared-statement donk
fonte

Respostas:

10

A solução foi definir a variável na própria declaração preparada, como em:

SET @sql = CONCAT('SET @curid = SELECT id
                                FROM coupon_operations 
                                WHERE user_id = ? 
                                ORDER BY id ASC 
                                LIMIT ?, 1');
donk
fonte
1
Qual é o objetivo do CONCATcódigo acima?
Pacerier 02/04
@Pacerier Você não precisa usar, a CONCATmenos que passe o nome da tabela ou algo como parâmetro. ex)CONCAT('select * from ', the_table_name, ' where id>100');
Deckard 14/06
9

Estou feliz que você encontrou sua resposta. Outra solução seria usar a sintaxe SELECT ... INTO :

SET @sql = CONCAT('SELECT id INTO @curid FROM coupon_operations 
                   WHERE user_id = ? 
                   ORDER BY id ASC 
                   LIMIT ?, 1');
Derek Downey
fonte
0

Por favor tentei isso. resolver declarações Concatenar, PREPARE e EXECUTE conforme abaixo.

CREATE DEFINER=`products`@`localhost` PROCEDURE `generateMeritList`(
   IN `mastercategory_id` INT(11), 
   IN `masterschools_id` INT(11)
 )
 NO SQL
 begin

  declare total int default 0;
  declare conditions varchar(255) default ''; 
  declare finalQuery varchar(60000) default '';

if mastercategory_id > 0 THEN
    SET conditions =  CONCAT(' and app.masterschools_id = ', mastercategory_id);
end if;

SET @finalQuery = CONCAT(
 "SELECT * FROM applications app INNER JOIN masterschools school ON school.id = app.masterschools_id
WHERE 
 (app.status = 'active'", conditions, " LIMIT ",total); 

 PREPARE stmt FROM @finalQuery;
 EXECUTE stmt;
 DEALLOCATE PREPARE stmt;

end
Dinesh Vaitage
fonte
Este exemplo em particular é bom, mas eu desencorajaria usá-lo como um padrão geral devido ao risco de injeção de SQL . Se a entrada fosse uma sequência - como VARCHAR - em vez de INT, isso permitiria que um invasor injetasse o código SQL. Uma instrução preparada criada corretamente é mais segura do que concatenar seqüências de caracteres com entrada externa.
Juanal 27/09/19