sql-server - 动态 WHERE 条件 SQL SERVER

这就是我长期以来所说的“厨房水槽”——您需要一个可以支持任何搜索条件组合的查询。一些想法：

• 停止尝试将用户输入与可执行字符串连接 - 这是危险且容易出错的。这些应该始终作为显式类型的参数传入。
• 您可以构建一个包含所有条件的字符串，而不是尝试为每个可能的条件创建一个新的条件字符串。
• 您可以声明和传递参数，sp_executesql即使它们并非全部都出现在动态 SQL 语句中。这就像声明一个局部变量而不使用它一样。
• 电子邮件地址可以是 320 个字符长。如果你只支持200，那可能会咬你。

样本：

DECLARE @FirstName         nvarchar(100),
        @LastName          nvarchar(100),
        @Email             nvarchar(320),
        @conditions        nvarchar(max) = N'';

SET @FirstName = N'John';
SET @LastName  = N'David';
SET @Email     = N'john.david@abc.com';

SET @conditions += CASE WHEN @FirstName IS NOT NULL THEN
      N' AND FirstName = @FirstName' ELSE N'' END
  + CASE WHEN @LastName IS NOT NULL THEN
      N' AND LastName = @LastName' ELSE N'' END
  + CASE WHEN @Email IS NOT NULL THEN
      N' AND Email = @Email' ELSE N'' END;

DECLARE @sql nvarchar(max) = N'SELECT ... FROM dbo.table 
        WHERE 1 = 1' + @conditions;

PRINT @sql; -- try this when populating or not populating each of
            -- @FirstName, @LastName, @Email

EXEC sys.sp_executesql @sql, 
  N'@FirstName nvarchar(100), @LastName nvarchar(100), @Email nvarchar(320)', 
  @FirstName, @LastName, @Email;

更多细节：

• #BackToBasics：更新的厨房水槽示例
• 在 SQL Server 中保护自己免受 SQL 注入 - 第 1 部分
• 在 SQL Server 中保护自己免受 SQL 注入 - 第 2 部分