方法一:可以使用exec,把整个sql当做参数来执行
例如:
exec ('select * from OrganiseUnit where OrganiseCode in ('+@OrganiseCode+')');
这样存储过程修改复杂,没有防注功能。
方法二:我们采用另一种方案来解决,先写一个SQL函数,功能是分割字符串
create function SplitIn(@c varchar(2000),@split varchar(2))
returns @t table(col varchar(20))
as
begin
while(charindex(@split,@c)<>0)
begin
insert @t(col) values (substring(@c,1,charindex(@split,@c)-1))
set @c = stuff(@c,1,charindex(@split,@c),'')
end
insert @t(col) values (@c)
return
end
returns @t table(col varchar(20))
as
begin
while(charindex(@split,@c)<>0)
begin
insert @t(col) values (substring(@c,1,charindex(@split,@c)-1))
set @c = stuff(@c,1,charindex(@split,@c),'')
end
insert @t(col) values (@c)
return
end
我们为这个函数传入字符串和分隔符