SQL Server中的QUOTENAME函數用于將字符串值添加引號，并在字符串中的所有引號周圍添加轉義字符。它主要用于構建動態SQL語句中的字符串值，以防止SQL注入攻擊。

QUOTENAME函數的語法如下： QUOTENAME ( ‘string’ [,‘quote_character’] )

參數說明：

• string：要引用的字符串值。
• quote_character：可選參數，指定要用作引號的字符，默認為方括號（[]）。

示例：

SELECT QUOTENAME('John') AS QuotedName;
-- 結果為 [John]

SELECT QUOTENAME('John O''Connor') AS QuotedName;
-- 結果為 [John O''Connor]

SELECT QUOTENAME('John', '''') AS QuotedName;
-- 結果為 'John'

在動態SQL語句中，如果字符串值未經過QUOTENAME函數處理，可能會導致錯誤或不安全的情況。例如，考慮以下示例：

DECLARE @tableName VARCHAR(50);
SET @tableName = 'MyTable; DROP TABLE MyTable; --';

DECLARE @sql NVARCHAR(1000);
SET @sql = 'SELECT * FROM ' + @tableName;

EXEC sp_executesql @sql;

如果@tableName的值未經過QUOTENAME函數處理，那么該動態SQL語句將變為：

SELECT * FROM MyTable; DROP TABLE MyTable; --

這個動態SQL語句將嘗試從表"MyTable"中選擇數據，并刪除表"MyTable"。這是一種SQL注入攻擊的示例。為了防止這種攻擊，應該使用QUOTENAME函數對@tableName進行處理：

DECLARE @tableName VARCHAR(50);
SET @tableName = 'MyTable; DROP TABLE MyTable; --';

DECLARE @sql NVARCHAR(1000);
SET @sql = 'SELECT * FROM ' + QUOTENAME(@tableName);

EXEC sp_executesql @sql;

這將生成以下動態SQL語句：

SELECT * FROM [MyTable; DROP TABLE MyTable; --]

這樣可以確保動態SQL語句只選擇表"[MyTable; DROP TABLE MyTable; --]"中的數據，而不會刪除任何表。