Sql server 将WHERE子句作为参数传递到SQL Server存储过程中
我正在处理一个存储过程,其中Sql server 将WHERE子句作为参数传递到SQL Server存储过程中,sql-server,sql-server-2012,Sql Server,Sql Server 2012,我正在处理一个存储过程,其中where子句中使用的一个参数需要从代码中发送。例如— CREATE PROCEDURE sp_test @param1 AS BEGIN SELECT * FROM Table WHERE @param1 END 在上面的存储过程中,传递给@param1的值类似于Col1,类似于“%abc%”和Col1,类似于“%xyz%”我知道这可以使用动态SQL来完成,但我不希望使用它 任何帮助都将不胜感激 编辑 我有一个varchar(
whereCREATE PROCEDURE sp_test
@param1
AS
BEGIN
SELECT *
FROM Table
WHERE @param1
END
@param1Col1,类似于“%abc%”和Col1,类似于“%xyz%”我有一个
varchar(MAX)-匹配类型(相等、相似等)
-搜索值
-和/或 我将把它传递到我的SP中,然后使用动态SQL构建查询
当允许用户定义搜索条件时,实际上没有很多其他选项。但是我肯定会以结构化的格式传递搜索条件,这样您就可以最终控制最终的SQL(而不是应用程序插入预先形成的SQL)。如评论中所述,通常没有好的理由传递完整的子句: -您正在删除数据库层的抽象(如果需要切换DBMS,则需要更改where子句语法,假设它不同)。 -你可能会让自己受到注射攻击 更好地理解您的需求,并相应地参数化存储过程。 例如 您可能需要以下查询:
select * from TABLE where column1 like '%XX%' and column2 like '%YY%'
select * from TABLE where column1 like '%XX%' or column2 like '%YY%'`
column1Valuecolumn2 valueclauseConnectorIF @clauseConnector = 'AND'
BEGIN
select * from TABLE where c1 like '%' + @column1Value + '%' AND c2 like '%' + @column2Value + '%'
END
ELSE
BEGIN
select * from TABLE where c1 like '%' + @column1Value + '%' OR c2 like '%' + @column2Value + '%'
END
SET @query = 'SELECT * FROM TABLE WHERE ' +
'Column1 like ''%' + column1Value + '%'' '
+ @clauseConnector + ' ' +
IIF (@column2Value IS NOT NULL,'Column2 like ''%' + column2Value + '%'''
EXECUTE(@SQLQuery)
根据您的编辑,这听起来很简单。您需要搜索一个varchar(MAX)列。让我们称之为col1 创建程序sp_测试 @参数1 作为 开始 从表中选择*,其中col1类似@param1
结束如果必须这样做,那么动态SQL是您唯一的选择。然而,这不是一个好办法——让你容易注射,会损害你的表现。这是个糟糕的主意。您正在两层之间创建隐式链接,这只会使您的体系结构复杂化。这是我不想使用动态SQL的主要原因之一。还有其他选择吗?为了找到更好的方法,您需要更详细地解释您正试图完成的任务。旁注:您不应该在存储过程中使用
sp_usp.