动态SQL查询小技巧

最新推荐文章于 2024-08-27 16:09:26 发布
最新推荐文章于 2024-08-27 16:09:26 发布
阅读量1k 收藏
点赞数
分类专栏: XML DataBase 文章标签: sql parameters join sql server 数据库 报表

SQL Server2005SSRS教程中,使用报表中的动态查询引入了以下动态查询:

="SELECT c.firstname, c.lastname, e.title, d.departmentID " &

"From HumanResources.EmployeeDepartmentHistory D " &

"INNER JOIN HumanResources.Employee E " &

"ON D.EmployeeID = E.EmployeeID " &

"INNER JOIN Person.Contact C " &

"ON E.ContactID = C.ContactID " &

Iif(Parameters!Department.Value = 0, "",  "WHERE D.DepartmentID = " & Parameters!Department.Value) &

"ORDER BY C.LastName"


其实可以简单地增加一个OR子句的查询,有效地禁止上述WHERE子句如果@参数为0

WHERE D.DepartmentID = @Department OR @Department = 0

 

即是:

SELECT     c.FirstName, c.LastName, e.Title, d.DepartmentID

FROM         HumanResources.EmployeeDepartmentHistory AS d INNER JOIN

                      HumanResources.Employee AS e ON d.EmployeeID = e.EmployeeID INNER JOIN

                      Person.Contact AS c ON e.ContactID = c.ContactID

WHERE d.DepartmentID = @Department OR @Department = 0

ORDER BY c.LastName



这样会更安全,如果开发人员不小心暴露了输入参数,后一种语句更不容易受到SQL注入攻击。
在存储过程中需要返回的所有记录,这种方法也很适用。

 

P.S. 我在做SSRS开发时发现sql语句大小写敏感,可能是数据库配置问题。

czmao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SQL性能优化的21个小技巧
学Java,找哪吒
08-29 4万+
真正的一文在手,优化我有!
SQL查询技巧
LuckyJerry66的博客
08-15 1490
**mysql学习日志 之 SQL查询技巧 ** 聚合函数 – 1.count 个数 – (1)教师人数 select count(*) from 教师 – (2)注册了系_ID的教师人数 – count 不统计null select count(系_id) from 教师 – 2.sum 总和 – 教师的工资总和 select sum(工资) from 教师 – 3.max 最大 – 教师的最高工资 select max(工资) from 教师 – 4.min 最小 – 教师的最低工资 select mi
sql语句实现动态添加查询条件
热门推荐
我滴太阳233的博客
04-16 4万+
今天遇到一个问题,就是需要根据前端页面发送的条件查询数据库记录,但是前端发送的条件是不确定的。如果使用mybatis的xml方法可以使用if标签灵活的添加判断条件,但是现在我使用的就是单纯的sql。我是这样解决的:使用case when 语句可以完成这样的sql拼接。值得注意的是判断的时候用的是is null/is not null,而不要使用=/!=昨天忘了判断空字符串,修改如下:之前是直接使用...
动态sql查询
sinat_33940108的博客
02-03 1830
什么是动态参数查询 在应用中经常有多参数查询的情况,比如: 程序 UserMapper.java List<User> findUserByParams( @Param("ename") String ename, @Param("sal") Double sal, @Param("deptno") Integer deptno ); 声明条件,通过这三个条件进行查询 写入sql语句 <se..
SQL多值查询技巧
oolawokao的博客
11-05 4862
一般我们在日常码代码中,经常会遇到传入复数ID或者其他字段用于查询的情况。而变量不能直接代用到脚本中使用。一定程度上来说有点麻烦。 举个例子,来说明下这种情况: 1. 首先准备下测试数据,创建测试表,代码如下: CREATE TABLE TESTAA(ID INT) INSERT INTO TESTAA(ID) SELECT 1 UNION SELECT 2 UNION SELECT 3 2. 模拟下多值传参使用情况,代码如下: DECLARE @AA VARCHAR(32) SET @AA
SQL注入小技巧:利用子查询忽略字段名
12-14
之前转载了一篇 Access移位溢注技术(已知表名,不知列名) 网上找了个案例,但是使用这种办法还是失败,无奈继续查找资料,于是有了这篇文章。。  适用情况同上篇文章,知道表名,不知道字段名。...
PHP防止sql注入小技巧sql预处理原理与实现方法分析
01-20
本文实例讲述了PHP防止sql注入小技巧sql预处理原理与实现方法。分享给大家供大家参考,具体如下: 我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。 我们来看下它有...
sql server查询时间技巧分享
12-15
SQL Server中,查询时间数据是一项常见的任务,而掌握高效且准确的查询技巧至关重要。本文将探讨几个关于SQL Server查询时间的实用技巧,包括时间格式转换、编辑器查询、Hibernate查询以及时间区间段的处理。 1. ...
74.sql语句优化小技巧.avi
03-09
数据库系统概论 sql语句优化小技巧.avi
聊聊sql优化的15个小技巧
lisu061714112的专栏
11-10 8686
前言 sql优化是一个大家都比较关注的热门话题,无论你在面试,还是工作中,都很有可能会遇到。 如果某天你负责的某个线上接口,出现了性能问题,需要做优化。那么你首先想到的很有可能是优化sql语句,因为它的改造成本相对于代码来说也要小得多。 那么,如何优化sql语句呢? ​ 我的个人技术博客:https://susan.net.cn​​​​​​​ ​ 这篇文章从15个方面,分享了sql优化的一些小技巧,希望对你有所帮助。 最近无意间获得一份BAT大厂大佬写的刷题笔记,一下子打通了我的任督二脉,越来越觉得算法没
SQL SERVER STUFF小技巧
二月十六的博客
07-11 3863
       今天介绍一个STUFF函数的小技巧,stuff函数:       STUFF ( character_expression , start , length ,character_expression ),对一个字符串character_expression ,从第几位开始start,用character_expression 替换,多长的length 字符,比如:select ST...
15个SQL优化的技巧
u013625306的博客
03-02 1603
sql优化技巧
漏洞披露-金慧-综合管理信息系统-SQL
最新发布
无问社区的博客
08-27 263
金慧数据资产管理平台是一款企业级数据资产管理软件,其基于先进的技术架构,具备操作简单、部署灵活、快速响应等特点。由于金慧-综合管理信息系统 LoginBegin.aspx(登录接口处)没有对外部输入的SQL语句进行严格的校验和过滤,直接带入数据库执行,导致未经身份验证的远程攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
SQL统计行数的语句
曹昆的技术博客
08-27 134
SQL 中,你可以使用 COUNT() 函数来统计查询结果的行数。这个函数可以用在不同的上下文中,具体取决于你想要统计的内容。
Oracle SQL查询实用技巧与示例
"这篇资料主要介绍了Oracle数据库中的常用SQL查询命令,包括查看表空间信息、回滚段信息、控制文件和日志文件等关键数据的查询方法。" 在Oracle数据库管理中,SQL查询命令是日常操作的核心部分。以下是一些Oracle ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值