经典ASP - 斯普利特和包含一个简单的SQL查询
我有以下SQL查询:经典ASP - 斯普利特和包含一个简单的SQL查询
SQL = "SELECT * FROM Product WHERE ProductCategoryId = " & Request.QueryString("CategoryId")
这个查询告诉让所有的产品从一类。我希望产品能够来自某些类别,而不是仅来自一个类别。
所以,我改变了[产品] .ProductCategoryId字段为varchar(50),和wrriten某些类别ID在逗号分隔,例如:
1,5,7,4
现在,我怎样才能在SQL查询中工作?在ASP中有Split和Contains(http://www.devx.com/vb2themax/Tip/18364)函数,但我如何在SQL中执行此操作?
感谢,并为英语抱歉...
强制性说明:切勿将用户提供的数据连接到SQL查询中;你正打开自己的SQL注入攻击。
我以前的回答(使用“IN”)是基于一个错误的想法,即您从用户收集多个ID,并使用一个值进行搜索。但是你正在做相反的事情 - 该列有多个值,并且你试图匹配来自用户的一个值。
这是一个不好的方法。不要使用逗号分隔的值;添加一个具有一对多关系的新表。那么该查询将看起来像
SQL = "SELECT Product.* FROM Product, ProductCategory WHERE ProductCategory.ProductId=Product.ID AND ProductCategory.CategoryId = " & Request.QueryString("CategoryId")
如果你真的想要做的逗号分隔的事情,你可以使用LIKE和通配符%做搜索,但它会是脆弱的(例如,你将不得不作出确定“2”的ID不符合“12”)。
不是没有,但WHERE ProductCategoryId = " & Request.QueryString("CategoryId")
是做您的查询的GOD AWFUL方式。
你刚刚开启自己的疯狂SQL injection攻击。
回顾所有注入问题,这是用于TSQL列表操作的best source。在不阅读整篇文章的情况下,需要创建一个非常快速的无循环TSQL方法来分割字符串。
你会最终有一个TSQL分割功能,并可以使用它像:
SELECT
y.*
FROM YourTable y
INNER JOIN dbo.FN_ListToTable(',','1,2,3,444,5,,,6') s ON y.ID=s.ListValue
from the previous article, I prefer the number table approach,这是你需要做的,实现它是什么。
对于这种方法的工作,你需要做的这一个时间表设置:
SELECT TOP 10000 IDENTITY(int,1,1) AS Number
INTO Numbers
FROM sys.objects s1
CROSS JOIN sys.objects s2
ALTER TABLE Numbers ADD CONSTRAINT PK_Numbers PRIMARY KEY CLUSTERED (Number)
一旦表中设置了数字,创建此功能:现在可以轻松地
CREATE FUNCTION [dbo].[FN_ListToTable]
(
@SplitOn char(1) --REQUIRED, the character to split the @List string on
,@List varchar(8000)--REQUIRED, the list to split apart
)
RETURNS TABLE
AS
RETURN
( ----------------
--SINGLE QUERY-- --this will not return empty rows
----------------
SELECT
ListValue
FROM (SELECT
LTRIM(RTRIM(SUBSTRING(List2, number+1, CHARINDEX(@SplitOn, List2, number+1)-number - 1))) AS ListValue
FROM (
SELECT @SplitOn + @List + @SplitOn AS List2
) AS dt
INNER JOIN Numbers n ON n.Number < LEN(dt.List2)
WHERE SUBSTRING(List2, number, 1) = @SplitOn
) dt2
WHERE ListValue IS NOT NULL AND ListValue!=''
);
GO
你可以拆分CSV字符串转换成表格,并加入就可以了:
select * from dbo.FN_ListToTable(',','1,2,3,,,4,5,6777,,,')
OUTPUT:
ListValue
-----------------------
1
2
3
4
5
6777
(6 row(s) affected)
你可以在一个CSV字符串传递到一个程序和过程仅排在给定的ID,或者只是用它像查询:
SELECT
y.*
FROM YourTable y
INNER JOIN dbo.FN_ListToTable(',',@GivenCSV) s ON y.ID=s.ListValue
又是什么那是XKCD的故事吗? ;-) – 2009-10-07 20:04:21
显然我们希望他使用参数化查询/ sprocs,但是我不认为你可以传入一个让我们说@var =“1,2,3,4”的参数,然后对它做一个IN 。 – 2009-10-07 20:04:34
啊,那here。 – 2009-10-07 20:06:06