62,266
社区成员
发帖
与我相关
我的任务
分享俺自己写的万能查询的存储过程,请赐教
set ANSI_NULLS ON
set QUOTED_IDENTIFIER ON
go
ALTER PROCEDURE [dbo].[student_choice]
@name varchar (50),
@sex varchar (50) ,
@department varchar (50),
@grade varchar (50),
@major varchar (50)
AS
BEGIN
declare @sql varchar (1000)
set @sql='select * from student where 1=1'
if @name<>''
begin
set @sql=@sql+'and name='+@name
end
if @sex<>''
begin
set @sql=@sql+'and convert(varchar(50),sex)='+@sex
end
if @department<>''
begin
set @sql=@sql+'and department='+@department
end
if @grade<>''
begin
set @sql=@sql+'and grade='+@grade
end
if @major <>''
begin
set @sql=@sql+'and major='+@major
end
exec(@sql)
END
set QUOTED_IDENTIFIER ON
go
ALTER PROCEDURE [dbo].[student_choice]
@name varchar (50),
@sex varchar (50) ,
@department varchar (50),
@grade varchar (50),
@major varchar (50)
AS
BEGIN
declare @sql varchar (1000)
set @sql='select * from student where 1=1'
if @name<>''
begin
set @sql=@sql+'and name='+@name
end
if @sex<>''
begin
set @sql=@sql+'and convert(varchar(50),sex)='+@sex
end
if @department<>''
begin
set @sql=@sql+'and department='+@department
end
if @grade<>''
begin
set @sql=@sql+'and grade='+@grade
end
if @major <>''
begin
set @sql=@sql+'and major='+@major
end
exec(@sql)
END
...全文
请发表友善的回复…
发表回复
minhua1983 2015-03-20
- 打赏
- 举报
这个真可以被注入。
人生难得一只鸡 2015-03-19
- 打赏
- 举报
看 上 去 很 厉 害 的 样 子.
於黾 2015-03-19
- 打赏
- 举报
什么是万能?万能胶吗
百变猪娃娃 2015-03-19
- 打赏
- 举报
一个趔趄,震惊了。
heyanan523 2015-03-06
- 打赏
- 举报
月之点点 2015-02-27
- 打赏
- 举报
你亮了!
huaneramn 2015-02-27
- 打赏
- 举报
看都看不懂,还万能?????????
Rajesh_James 2015-02-27
- 打赏
- 举报
噗哈哈哈 ~
blue_apple2006 2015-02-27
- 打赏
- 举报
亮瞎眼,能查妹子的QQ号么?
-xice- 2015-02-26
- 打赏
- 举报
貌似可以注入
shadowno 2015-02-26
- 打赏
- 举报
骑猪看海 2015-02-26
- 打赏
- 举报
CSDN最近不火,你是派来表演增加人气的吧
qzyf1992 2015-02-25
- 打赏
- 举报
写的挺好的,没法反驳。
Banianer 2015-02-25
- 打赏
- 举报
学习了,楼主加油!
datahandler2 2015-02-25
- 打赏
- 举报
写的挺好的,没法反驳。
99guo 2015-02-25
- 打赏
- 举报
写的挺好的,没法反驳。
zbdzjx 2015-02-25
- 打赏
- 举报
五个参数,只能算是“五”能查询。
大葡萄八块一斤 2015-02-21
- 打赏
- 举报
娃都会打酱油了 2015-02-21
- 打赏
- 举报
这万能 ……
缪军 2015-02-20
- 打赏
- 举报
其实,sqlserver和ado都支持动态参数,
也就是说,对于这么简单的查询业务,完全可以运行时刻动态构造sql,而不需要自己动手编写这些代码
加载更多回复(5)
