62,047
社区成员
发帖
与我相关
我的任务
分享存储过程与传递的字符型参数问题
是这样子的,要写一个稍复杂的查询,用存储过程来写,大概象下面这样:
CREATE procedure CMRC_PRODUCT_QUERY
(
@skey NVarChar(100), /* 商品名*/
@CategoryID int, /* 类别ID */
@CateType int, /* 类别类型 [0所有 1系统大类别 2系统小类别 3系统3级类 4系统4级类] */
@Province NVarChar(100), /* 商品所在地域 [所有|未指定|北京|天津 ..]*/
....此处省略100字
)
as
set nocount on
Declare @SqlText AS Varchar(1000)
/* 主类型*/
if(@CateType = 1)
set @SqlText = ' from CCC_Products where 0=0 and CategoryID_SB=' + Cast(@CategoryID AS varchar(20)) + ' '
/* 地域开始 */
if(@Province = '所有')
set @SqlText = @SqlText
else
set @SqlText = @SqlText + ' and Province = ' +@Province
/* 商品名开始 */
set @SqlText = @SqlText + ' and ProductName like ' + '%' + @skey + '%'
set @SqlText = 'Select count(ProductID) ' + @SqlText
Exec(@SqlText)
问题是当传@Province和@skey这两个字符型的参数的时候,查询就出错了
@skey这个肯定是有问题的,因为要模糊查询,所以要加'%',这个单引号我不会在存储过程中处理,但是@Province这个参数竟然也出错哟,郁闷,我传象 string Province = "天津"; 这样的Province参数进去,系统报错为 异常详细信息: System.Data.SqlClient.SqlException: 列名 '天津' 无效。
请各位有经验的达人帮忙看看这两个问题。如搞定100分随后奉上。
CREATE procedure CMRC_PRODUCT_QUERY
(
@skey NVarChar(100), /* 商品名*/
@CategoryID int, /* 类别ID */
@CateType int, /* 类别类型 [0所有 1系统大类别 2系统小类别 3系统3级类 4系统4级类] */
@Province NVarChar(100), /* 商品所在地域 [所有|未指定|北京|天津 ..]*/
....此处省略100字
)
as
set nocount on
Declare @SqlText AS Varchar(1000)
/* 主类型*/
if(@CateType = 1)
set @SqlText = ' from CCC_Products where 0=0 and CategoryID_SB=' + Cast(@CategoryID AS varchar(20)) + ' '
/* 地域开始 */
if(@Province = '所有')
set @SqlText = @SqlText
else
set @SqlText = @SqlText + ' and Province = ' +@Province
/* 商品名开始 */
set @SqlText = @SqlText + ' and ProductName like ' + '%' + @skey + '%'
set @SqlText = 'Select count(ProductID) ' + @SqlText
Exec(@SqlText)
问题是当传@Province和@skey这两个字符型的参数的时候,查询就出错了
@skey这个肯定是有问题的,因为要模糊查询,所以要加'%',这个单引号我不会在存储过程中处理,但是@Province这个参数竟然也出错哟,郁闷,我传象 string Province = "天津"; 这样的Province参数进去,系统报错为 异常详细信息: System.Data.SqlClient.SqlException: 列名 '天津' 无效。
请各位有经验的达人帮忙看看这两个问题。如搞定100分随后奉上。
...全文
请发表友善的回复…
发表回复
xiaofeixia__9999 2005-10-26
- 打赏
- 举报
做个记号
yang_hao 2005-10-26
- 打赏
- 举报
试试
eyych 2005-10-26
- 打赏
- 举报
做个记号。
ye_zi 2005-10-26
- 打赏
- 举报
MARK
jinzhouk 2005-10-26
- 打赏
- 举报
我想提醒楼主,拼接字符串的做法会有两个问题:
1 SQL恶意攻击
比如 set @skey = ';exec sp_addlogin hax' 就可能在你的数据库增加一个hax登录用户
2 无法优化T-SQL查询
一万个查询条件就会生成一万种T-SQL,SQL server无法优化。
所以我建议你采用sp_executesql替换Exec(@SqlText)。不仅可以避免以上的问题,而且也可以解决单引号的问题。
具体用法请参考帮助文档。
1 SQL恶意攻击
比如 set @skey = ';exec sp_addlogin hax' 就可能在你的数据库增加一个hax登录用户
2 无法优化T-SQL查询
一万个查询条件就会生成一万种T-SQL,SQL server无法优化。
所以我建议你采用sp_executesql替换Exec(@SqlText)。不仅可以避免以上的问题,而且也可以解决单引号的问题。
具体用法请参考帮助文档。
lengyubing_1983 2005-10-26
- 打赏
- 举报
set @SqlText = @SqlText + " and ProductName like '%' + @skey + '%'"
du9232 2005-10-26
- 打赏
- 举报
1、存储过程里用两个单引号代替一个单引号
2、 string Province = "天津"; sql里双引号表示的是列名,单引号代替字符串
2、 string Province = "天津"; sql里双引号表示的是列名,单引号代替字符串
jxufewbt 2005-10-26
- 打赏
- 举报
set @SqlText = @SqlText + "and ProductName like '%'" + @skey + "'%'"
jinjazz 2005-10-26
- 打赏
- 举报
set @SqlText = @SqlText + ' and Province = ''' +@Province+''''
/* 商品名开始 */
set @SqlText = @SqlText + ' and ProductName like ''%' + @skey + '%'''
/* 商品名开始 */
set @SqlText = @SqlText + ' and ProductName like ''%' + @skey + '%'''
tigerwen01 2005-10-26
- 打赏
- 举报
set @SqlText = @SqlText + " and ProductName like '%' + @skey + '%'"
