SqlServer中将由逗号“,”分割的⼀个字符串转换为⼀个表集,
并应⽤到in条件中
Sql Server 中将由逗号“,”分割的⼀个字符串,转换为⼀个表,并应⽤与 in 条件
select * from tablenmae where id in(1,2,3)
这样的语句和常⽤,但是如果in 后⾯的 1,2,3是变量怎么办呢,⼀般会⽤字符串连接的⽅式构造sql语句
string aa=”1,2,3”;
string sqltxt=”select * from tablename where id in (“+aa+”)”;
然后执⾏ sqltxt
这样的风险是存在sql注⼊漏洞。那么如何在 in 的条件中使⽤变量呢?可以把形如“1,2,3”这样的字符串转换为⼀个临时表,这个表有⼀列,3⾏,每⼀⾏存⼀个项⽬(⽤逗号分隔开的⼀部分)
该函数可以这样写:
create Function StrToTable(@str varchar(1000))
Returns @tableName Table
(
str2table varchar(50)
逗号分割字符串转数组)
As
–该函数⽤于把⼀个⽤逗号分隔的多个数据字符串变成⼀个表的⼀列,例如字符串’1,2,3,4,5’ 将编程⼀个表,这个表
Begin
set @str = @str+’,’
Declare @insertStr varchar(50) –截取后的第⼀个字符串
Declare @newstr varchar(1000) –截取第⼀个字符串后剩余的字符串
set @insertStr = left(@str,charindex(‘,’,@str)-1)
set @newstr = stuff(@str,1,charindex(‘,’,@str),”)
Insert @tableName Values(@insertStr)
while(len(@newstr)>0)
begin
set @insertStr = left(@newstr,charindex(‘,’,@newstr)-1)
Insert @tableName Values(@insertStr)
set @newstr = stuff(@newstr,1,charindex(‘,’,@newstr),”)
end
Return
End
然后sql语句就可以这样了
declare str vchar(100); --定义str变量
set str=’1,2,3’; --给变量赋值
select * from tablename where id in (select str2table from StrToTable(@str) )
解释:
A. select str2table from StrToTable(1,2,3) --调⽤函数StrToTable(1,2,3),执⾏出来的结果就是:(由逗号“,”分割的⼀个字符串(1,2,3),转换为⼀个字段的表结果集)
str2table
1
2
3
B.
select * from tablename where id in (select str2table from StrToTable(1,2,3))
就相当于执⾏了
select * from tablename where id in (1,2,3)
最后:附⼀个实际项⽬sql例⼦
declare @str varchar(1000) --定义变量
select @str=hylb from [dbo].[f_qyjbxx] where qyid = ${qyid} --给变量赋值
select xsqxtbzd+','
from [dbo].[d_hylb]
where hylbid in (select str2table from strtotable(@str)) --调⽤函数
for xml path(''); --将查询结果集以XML形式展现(将结果集以某种形式关联成⼀个字符串)
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论