sql server 中将由逗号“,”分割的一个字符串,转换为一个表,并应用与 in 条件
2024-10-18 04:48:41
select * from tablenmae where id in(1,2,3)
这样的语句和常用,但是如果in 后面的 1,2,3是变量怎么办呢,一般会用字符串连接的方式构造sql语句
string aa="1,2,3";
string sqltxt="select * from tablename where id in ("+aa+")";
然后执行 sqltxt
这样的风险是存在sql注入漏洞。那么如何在 in 的条件中使用变量呢?可以把形如“1,2,3”这样的字符串转换为一个临时表,这个表有一列,3行,每一行存一个项目(用逗号分隔开的一部分)
该函数可以这样写:
create Function StrToTable(@str varchar(1000))
Returns @tableName Table
(
str2table varchar(50)
)
As
--该函数用于把一个用逗号分隔的多个数据字符串变成一个表的一列,例如字符串'1,2,3,4,5' 将编程一个表,这个表
Begin
set @str = @str+','
Declare @insertStr varchar(50) --截取后的第一个字符串
Declare @newstr varchar(1000) --截取第一个字符串后剩余的字符串
set @insertStr = left(@str,charindex(',',@str)-1)
set @newstr = stuff(@str,1,charindex(',',@str),'')
Insert @tableName Values(@insertStr)
while(len(@newstr)>0)
begin
set @insertStr = left(@newstr,charindex(',',@newstr)-1)
Insert @tableName Values(@insertStr)
set @newstr = stuff(@newstr,1,charindex(',',@newstr),'')
end
Return
End
然后sql语句就可以这样了
declare str vchar(100) set str='1,2,3' select * from tablename where id in (select str2table from StrToTable(@str) )
最新文章
- Spring中@Controller和@RestController之间的区别
- poj 2763 Housewife Wind
- js中的hasOwnProperty()和isPrototypeOf()
- JavaScript简介及基础知识(1)
- iOS:界面适配(三)--iPhone不同机型或设备不同尺寸适配(屏幕适配)和系统适配
- org.apache.struts2.json.JSONWriter can not access a member of class
- python模拟http请求2
- Python文件处理之文件指针(四)
- java开发webservice的几种方式
- HDU 5274(树链剖分)
- ArcGIS学习推荐基础教程摘录
- NET Core,跨平台的轻量级RPC
- Eclispse 换主题、皮肤、配色,换黑色主题护眼
- 使用Ajax以及Jquery.form异步上传图片
- Python3.5学习笔记-列表、元组、字典
- client_v2.go
- mac 苹果多版本jdk自由切换
- Tomcat 部署及配置
- python中get pass用法
- Java -- JDBC 学习--获取数据库链接