在过程中执行 varchar2 时出错

error when executing a varchar2 in a procedure

我有一个带有 INSERT 的 varchar2,我想在一个过程中执行它,我尝试用一​​个 execute 来执行它,但发生了这种情况:

EXECUTE IMMEDIATE sql_str; 

错误:

ERROR at line 1:
ORA-00911: invalid character
ORA-06512: at "SYS.INSERT_MOVIMIENTOS", line 47
ORA-06512: at line 1

Varchar2 带有一个插入,如果我粘贴它就可以工作,但是在过程中执行它时,过程的某些部分会失败。

INSERT INTO MOVIMIENTOS (COD_BANCO, COD_SUCUR, NUM_CTA, FECHA_MOV, TIPO_MOV, IMPORTE) VALUES (2000, 2000, 0, '11/11/08', 'I', 500);

我的程序

CREATE OR REPLACE PROCEDURE INSERT_MOVIMIENTOS (
    INSERTMOV_COD_BANCO IN NUMBER,
    INSERTMOV_COD_SUCUR IN NUMBER,
    INSERTMOV_NUM_CTA   IN NUMBER,
    INSERTMOV_FECHA_MOV IN DATE,
    INSERTMOV_TIPO_MOV  IN CHAR,
    INSERTMOV_IMPORTE   IN NUMBER
)
IS
    sql_str VARCHAR2(500) := 'INSERT INTO MOVIMIENTOS (';
    movimiento movimientos_typ;
BEGIN
    movimiento := movimientos_typ(
        INSERTMOV_COD_BANCO,
        INSERTMOV_COD_SUCUR,
        INSERTMOV_NUM_CTA,
        INSERTMOV_FECHA_MOV,
        INSERTMOV_TIPO_MOV,
        INSERTMOV_IMPORTE
    );

IF movimiento.getCOD_BANCO() != 0 THEN
    sql_str := sql_str || 'COD_BANCO, COD_SUCUR, NUM_CTA, FECHA_MOV, TIPO_MOV, IMPORTE) VALUES (' ||
    movimiento.getCOD_BANCO() || ', ' ||
    movimiento.getCOD_SUCUR() || ', ' ||
    movimiento.getNUM_CTA() || ', ''' ||
    movimiento.getFECHA_MOV() || ''', ''' ||
    movimiento.getTIPO_MOV() || ''', ' ||
    movimiento.getIMPORTE() || ');';
ELSE
    sql_str := sql_str || 'COD_SUCUR, NUM_CTA, FECHA_MOV, TIPO_MOV, IMPORTE) VALUES (' ||
    movimiento.getCOD_SUCUR() || ', ' ||
    movimiento.getNUM_CTA() || ', ''' ||
    movimiento.getFECHA_MOV() || ''', ''' ||
    movimiento.getTIPO_MOV() || ''', ' ||
    movimiento.getIMPORTE() || ');';
END IF;

    DBMS_OUTPUT.PUT_LINE('////////////////////////////////////////');
    DBMS_OUTPUT.PUT_LINE('CONSULTA: ' || sql_str);

    DBMS_OUTPUT.PUT_LINE('////////////////////////////////////////');
     DBMS_OUTPUT.PUT_LINE('DATOS INTRODUCIDOS: ');
    movimiento.display;

    DBMS_OUTPUT.PUT_LINE('////////////////////////////////////////');
    EXECUTE IMMEDIATE sql_str; 
    DBMS_OUTPUT.PUT_LINE('FUNCION REALIZADA CON EXITO');
END;
/

查询字符串中不要以分号 ; 结尾。

   movimiento.getIMPORTE() || ')';

错误就是因为它

顺便说一下,您应该使用绑定变量。以这种方式动态构建值容易受到 SQL Injection.

的攻击