您的位置: 首页  >  技术问答  >  经典ASP - 斯普利特和包含一个简单的SQL查询

经典ASP - 斯普利特和包含一个简单的SQL查询

分类: 技术问答 2022-08-24 20:38:22
问题描述:

我有以下SQL查询:经典ASP - 斯普利特和包含一个简单的SQL查询

SQL = "SELECT * FROM Product WHERE ProductCategoryId = " & Request.QueryString("CategoryId")

这个查询告诉让所有的产品从一类。我希望产品能够来自某些类别,而不是仅来自一个类别。

所以,我改变了[产品] .ProductCategoryId字段为varchar(50),和wrriten某些类别ID在逗号分隔,例如:

1,5,7,4

现在,我怎样才能在SQL查询中工作?在ASP中有Split和Contains(http://www.devx.com/vb2themax/Tip/18364)函数,但我如何在SQL中执行此操作?

感谢,并为英语抱歉...

强制性说明:切勿将用户提供的数据连接到SQL查询中;你正打开自己的SQL注入攻击。

我以前的回答(使用“IN”)是基于一个错误的想法,即您从用户收集多个ID,并使用一个值进行搜索。但是你正在做相反的事情 - 该列有多个值,并且你试图匹配来自用户的一个值。

这是一个不好的方法。不要使用逗号分隔的值;添加一个具有一对多关系的新表。那么该查询将看起来像

SQL = "SELECT Product.* FROM Product, ProductCategory WHERE ProductCategory.ProductId=Product.ID AND ProductCategory.CategoryId = " & Request.QueryString("CategoryId")

如果你真的想要做的逗号分隔的事情,你可以使用LIKE和通配符%做搜索,但它会是脆弱的(例如,你将不得不作出确定“2”的ID不符合“12”)。

+0

又是什么那是XKCD的故事吗? ;-) – 2009-10-07 20:04:21

+0

显然我们希望他使用参数化查询/ sprocs,但是我不认为你可以传入一个让我们说@var =“1,2,3,4”的参数,然后对它做一个IN 。 – 2009-10-07 20:04:34

+0

啊,那here。 – 2009-10-07 20:06:06

http://www.sommarskog.se/arrays-in-sql.html

不是没有,但WHERE ProductCategoryId = " & Request.QueryString("CategoryId")是做您的查询的GOD AWFUL方式。

你刚刚开启自己的疯狂SQL injection攻击。

回顾所有注入问题,这是用于TSQL列表操作的best source。在不阅读整篇文章的情况下,需要创建一个非常快速的无循环TSQL方法来分割字符串。

你会最终有一个TSQL分割功能,并可以使用它像:

SELECT 
    y.* 
    FROM YourTable y 
     INNER JOIN dbo.FN_ListToTable(',','1,2,3,444,5,,,6') s ON y.ID=s.ListValue

from the previous article, I prefer the number table approach,这是你需要做的,实现它是什么。

对于这种方法的工作,你需要做的这一个时间表设置:

SELECT TOP 10000 IDENTITY(int,1,1) AS Number 
    INTO Numbers 
    FROM sys.objects s1 
    CROSS JOIN sys.objects s2 
ALTER TABLE Numbers ADD CONSTRAINT PK_Numbers PRIMARY KEY CLUSTERED (Number)

一旦表中设置了数字,创建此功能:现在可以轻松地

CREATE FUNCTION [dbo].[FN_ListToTable] 
(
    @SplitOn char(1)  --REQUIRED, the character to split the @List string on 
    ,@List  varchar(8000)--REQUIRED, the list to split apart 
) 
RETURNS TABLE 
AS 
RETURN 
( ---------------- 
    --SINGLE QUERY-- --this will not return empty rows 
    ---------------- 
    SELECT 
     ListValue 
     FROM (SELECT 
        LTRIM(RTRIM(SUBSTRING(List2, number+1, CHARINDEX(@SplitOn, List2, number+1)-number - 1))) AS ListValue 
        FROM (
          SELECT @SplitOn + @List + @SplitOn AS List2 
         ) AS dt 
         INNER JOIN Numbers n ON n.Number < LEN(dt.List2) 
        WHERE SUBSTRING(List2, number, 1) = @SplitOn 
      ) dt2 
     WHERE ListValue IS NOT NULL AND ListValue!='' 
); 
GO

你可以拆分CSV字符串转换成表格,并加入就可以了:

select * from dbo.FN_ListToTable(',','1,2,3,,,4,5,6777,,,')

OUTPUT:

ListValue 
----------------------- 
1 
2 
3 
4 
5 
6777 

(6 row(s) affected)

你可以在一个CSV字符串传递到一个程序和过程仅排在给定的ID,或者只是用它像查询:

SELECT 
    y.* 
    FROM YourTable y 
     INNER JOIN dbo.FN_ListToTable(',',@GivenCSV) s ON y.ID=s.ListValue

相关推荐