存储过程中拼接sql并且参数化 - 代码天地

存储过程中拼接sql并且参数化

其他 2019-01-08 16:54:38 阅读次数: 0

ALTER PROCEDURE [dbo].[proc_test]
(
   @orderby nvarchar(100) = ' order by id desc  ',
   @userid int,
   @stime datetime,
   @etime datetime
)
AS
BEGIN
   DECLARE @strWhere nvarchar(1000)='';         --where条件
   DECLARE @execsql nvarchar(1000);        -- 主语句
   DECLARE @param nvarchar(1000);        -- 参数
    
   -------拼接where条件---------------------------------------------------------------------
   if(@userid>0)
   begin
        SET @strWhere += ' and [userid] = @userid '
   end
   --'1753/1/1 0:00:00'为时间传过来的默认值，表示无此筛选条件
   if(@stime <> '' and @stime>'1753/1/1 0:00:00')
   begin
        SET @strWhere += ' and [time] >= @stime '
   end
   --'1753/1/1 0:00:00'为时间传过来的默认值，表示无此筛选条件
  if(@etime <> '' and @etime>'1753/1/1 0:00:00')
   begin
        SET @strWhere += ' and [time] <= @etime '
   end 
   ------拼接where条件 end---------------------------------------------------------------------
   
   --查询sql
   set  @execsql = ' SELECT TOP 1000 [id] ,[time] FROM [tradeinfo]  WHERE 1 = 1 '
                    + @strWhere +@orderby;
    
        
    --参数化处理
    set @param =N'@userid int,@stime datetime,@etime datetime';
    EXEC sys.sp_executesql @execsql ,@param,
          @userid=@userid,
          @stime =@stime,
          @etime =@etime
          
END

上面的存储过程做了参数化处理，可以避免sql注入，相比直接拼接(SET @strWhere += ' and [userid] = ' +convert(varchar,@userid),然后用EXEC()方法执行)，更高效、更安全，当然维护起来有点麻烦，还有一点排序的参数@orderby好像没法参数化，以后有更好的方法再更新此文。

猜你喜欢

转载自www.cnblogs.com/qk2014/p/10239798.html

存储过程中拼接sql并且参数化

mysql存储过程中根据传入参数，动态拼sql语句并且执行

存储过程中处理用逗号拼接成的参数

Oracle存储过程中使用参数游标结合动态sql拼接

SQLServer 存储过程中不拼接SQL字符串实现多条件查询

存储过程中高性能安全式SQL拼接

ORACLE 存储过程中 SQL写法

存储过程中拼写sql并执行

在存储过程中构建动态SQL

存储过程——if判断、存储过程中的参数使用

sql语句——创建自定义表类型，用于存储过程中的参数定义

存储过程(数组参数、for循环、拼接的动态sql游标、merge into)

在SQL Server中搜索存储过程中的文本

存储过程中使用Exec拼接SQL语句造成的时间格式转换问题

oracle存储过程中输入数组参数

mysql存储过程中in、out、inout参数使用

MSSQL 存储过程中的参数传递应用

【赵强老师】Oracle存储过程中的out参数

Oracle 存储过程中打印SQL影响的行数

在SQL Server的存储过程中实现对文本的操作

在 SQL Server 的存储过程中调用 Web 服务

oracle-在存储过程中定义动态sql

SQL server 存储过程中列传行

SQL 存储过程中的IF_BEGIN_END作用域

sql 存储过程中何时使用declare声明变量

存储过程中执行动态Sql语句

在SQL Server 存储过程中拼接字符串时，若存在varchar和数值型则varchar自动转化为数值型

oracle存储过程中拼接字符串及转移逗号

sql developer中编写存储过程及存储过程中如何抛出异常

SQL SERVER 存储过程执行带输出参数的SQL语句拼接

今日推荐

Linus “吃狗粮”最积极！

开源日报 | Winamp播放器即将开源；生成式AI之战升级第二轮；Linus“吃狗粮”最积极；AI进入泡沫前期；吴泳铭为阿里云带来了什么？

NetBSD 禁止提交由 AI 生成的代码

Apache Doris 2.0.10 版本正式发布！

开源日报 | 大模型开战；大模型独角兽被曝卖身；周鸿祎建议谷歌开源所有产品；最大开源AI社区提供1000万美元共享GPU

开源日报 | Chrome内置Gemini的意义不在于Gemini；中国AI追随之路的五大误区；ECharts创始人“下海”养鱼；谷歌I/O开发者大会什么都有，只是没有惊喜

微软回应中国区AI团队“打包赴美”传闻

周排行

LogN级别的区间查询算法(线段树), 你学会了吗

数论概论(英文版.第4版)

idea 更新后和新的直接安装前，都需要配置 idea64.exe.vmoptions 后再使用

CANOpen系列教程04_CAN总线波特率、位时序、帧类型及格式说明

Java序列化基础

java排序算法整理

异常：org.apache.ibatis.reflection.ReflectionException

（算法练习）——二路归并排序

go 闭包函数

好程序员web前端技术分享媒体查询

每日归档

更多

2024-05-21(8)

2024-05-20(36)

2024-05-19(0)

2024-05-18(4)

2024-05-17(34)

2024-05-16(6)

2024-05-15(24)

2024-05-14(0)

2024-05-13(18)

2024-05-12(0)