WHERE 子句中的动态条件

发布于 2024-11-27 20:24:02 字数 443 浏览 1 评论 0原文

我有一个存储过程，想知道是否可以基于参数构建动态 where 条件。

假设我有这个查询：

SELECT *
FROM tbl_Users

现在，我有一个名为 @username 的参数，我想用它来构建动态 where 条件（通过我的程序可能会是 1 个或多个条件）。为了实现类似的目标，我使用以下语句：

SELECT *
FROM tbl_Users
@username -- where this parameter might hold a condition string such as "Where usr_Username = 5 and usr_first_name like '%Frank%' etc

是否可以做这样的事情？

原文

I have a stored procedure and would like to know if its possible to build up a dynamic where condition based on a parameter.

Lets say I have this query:

SELECT *
FROM tbl_Users

Now, I have a parameter called @username, which I would like to use to build up a dynamic where condition (which through my program might be 1 or more conditions). To achieve something like that I use the following statement:

SELECT *
FROM tbl_Users
@username -- where this parameter might hold a condition string such as "Where usr_Username = 5 and usr_first_name like '%Frank%' etc

Is it possible to do something like this?

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

情丝乱 2024-12-04 20:24:02

为此，您必须使用动态 sql。

它会运行如下：

declare @sql varchar(max)

set @sql = '
    SELECT *
    FROM tbl_Users
    WHERE ' + @username

exec (@sql)

You're going to have to break into dynamic sql for this.

it would run something like this:

declare @sql varchar(max)

set @sql = '
    SELECT *
    FROM tbl_Users
    WHERE ' + @username

exec (@sql)

回复收藏 0 原文

倾听心声的旋律 2024-12-04 20:24:02

我不确定我理解你，但如果我的理解是正确的，你可以执行以下操作（注意：注入漏洞）

DECLARE @SQL varchar(500) = 'SELECT * FROM tbl_users ' + @username

EXEC @SQL

I'm not certain I understand you, but if my understanding is correct, you can do the following (NOTICE: injection vulnerable)

DECLARE @SQL varchar(500) = 'SELECT * FROM tbl_users ' + @username

EXEC @SQL

回复收藏 0 原文

冷弦 2024-12-04 20:24:02

据我所知，这是行不通的。您将需要生成要执行的脚本并使用 exec 命令。

回复收藏 0 原文

倾听心声的旋律 2024-12-04 20:24:02

您确实不应该将 SQL 关键字和参数连接成一个字符串，如上面的一些响应所示，因为这为 SQL 注入打开了大门（其中之一）贡献者实际上已经指出了这一点，这是一个明智的警告！）。

相反，您应该参数化您的 SQL 并执行系统 SP sp_executesql。

StackOverflow 发布中展示了一个非常好的代码示例。

回复收藏 0 原文

~没有更多了~

关于作者

你是我的挚爱i

暂无简介

0 文章

0 评论

25 人气

关注发私信

離殇

文章 0 评论 0

关注

小姐丶请自重

文章 0 评论 0

关注

Aik

文章 0 评论 0

关注

国产ˉ祖宗

文章 0 评论 0

关注

猥琐帝

文章 0 评论 0

关注

半仙

文章 0 评论 0

友情链接

文江博客

WHERE 子句中的动态条件

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（4）

关于作者

相关话题

热门标签

推荐作者

離殇

小姐丶请自重

Aik

国产ˉ祖宗

猥琐帝

半仙

友情链接

WHERE 子句中的动态条件

如果你对这篇内容有疑问，欢迎到本站社区发帖提问 参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（4）

关于作者

相关话题

热门标签

推荐作者

離殇

小姐丶请自重

Aik

国产ˉ祖宗

猥琐帝

半仙

友情链接

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。