sql - 具有动态 WHERE 列的参数化 SQL

标签 sql tsql sql-server-2012

我正在尝试编写简单的过滤,用户可以在其中输入要过滤的列和值。棘手的部分是动态选择要过滤的列。

我在网上找到了几个解决方案,但不确定要实现哪个。我的偏好是倾向于性能而不是可维护性。任何意见将不胜感激。

假设我有一个表“t”,它有 5 个 VARCHAR 列:“c1”、“c2”、“c3”、“c4”和“c5”。

解决方案 1 - 简单的方法

我可以使用动态 SQL。大概是这样的:

DECLARE @sql VARCHAR(MAX) = 'SELECT * FROM t WHERE ' + @columnName + ' = ''' + @columnValue + ''';'
EXEC (@sql);

结果会是这样的:

SELECT *
FROM t
WHERE c1 = 'asdf'
;

出于以下两个原因,我不想使用此解决方案。在进入兔子洞之前,我主要将其作为一个简单的引用点。

  1. 它不防范 SQL 注入(inject)。
  2. 即使我要参数化 columnValue,我也会有 5 由于您无法参数化@columnName,因此为 5 列中的每一列缓存了不同的执行计划。

解决方案 2 - OR's

可以使用一系列只有两个参数的 OR。所以让我们说:

@columnName = 'c1'
@columnValue = 'asdf'

那么 SQL 会变成:

SELECT *
FROM t
WHERE (@columnName = 'c1' AND c1 = @columnValue)
  OR (@columnName = 'c2' AND c2 = @columnValue)
  OR (@columnName = 'c3' AND c3 = @columnValue)
  OR (@columnName = 'c4' AND c4 = @columnValue)
  OR (@columnName = 'c5' AND c5 = @columnValue)
  OR (@columnName IS NULL AND 0 = 0)
;

我通常尽量避免使用 OR。我记得在某处读到它遇到性能问题,但我不是 DBA,无法支持它。想法?

解决方案 3 - 合并

此解决方案依赖于为每列设置一个参数。所以参数应该是这样的:

@c1 = 'asdf';
@c2 = NULL;
@c3 = NULL;
@c4 = NULL;
@c5 = NULL;

SQL 出来:

SELECT *
FROM t
WHERE c1 = COALESCE(@c1, c1)
  AND c2 = COALESCE(@c2, c2)
  AND c3 = COALESCE(@c3, c3)
  AND c4 = COALESCE(@c4, c4)
  AND c5 = COALESCE(@c5, c5)
;

有人对实现什么方法有意见吗?我倾向于 COALESCE,但在这件事上我没有确切的数字或经验。也许有更好的做事方式?

最佳答案

最安全的方法:

DECLARE @sql NVARCHAR(MAX) = N'SELECT * FROM dbo.t WHERE ' 
 + QUOTENAME(@columnName) + ' = @ColumnValue;';

EXEC sp_executesql @sql, N'@ColumnValue VARCHAR(255)', @ColumnValue;

为了进一步防止 SQL 注入(inject),您可以先检查:

IF @columnName NOT IN (N'c1',N'c2',N'c3',N'c4',N'c5')
BEGIN
  RAISERROR('Nice try! %s is not valid.', 11, 1, @columnName);
  RETURN;
END

或如@HABO 建议的那样,针对 sys.columns 目录 View :

IF NOT EXISTS 
(
   SELECT 1 FROM sys.columns WHERE name = @ColumnName
     AND [object_id] = OBJECT_ID('dbo.t')
)
BEGIN
  RAISERROR('Nice try! %s is not valid.', 11, 1, @columnName);
  RETURN;
END

特别是当与 Optimize for ad hoc 工作负载 结合使用时,可能有 5 个不同的执行计划 - 因为它们毕竟是 5 个不同的查询,可以根据不同的索引进行不同的优化列,这些列中的数据分布等。

您的 ORCOALESCE 版本 - 除非您每次都支付编译命中 - 无论如何都会使用 same 计划提供了列,因此它可能适用于某些情况,但不适用于其他情况。而且每个人得到的计划不会基于什么是最好的,而是基于哪个参数先发送。

另外,如果您担心性能,也许不要使用 SELECT * - 特别是如果您不需要所有列。即使您这样做了,您也永远不知道何时有人向表中添加了 blob 或几何或 XML 或其他昂贵的列,并且您的代码会检索它,即使它并不关心它。

关于sql - 具有动态 WHERE 列的参数化 SQL,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18412145/

上一篇:emacs - 如何启动dired plus

下一篇:twisted - scrapy中的端口错误

相关文章:

c# - 如何以编程方式将 SQL Server 数据库 (localdb) 从一台机器移动到另一台机器

c# - 滚动您自己的 SQL 报告的最佳实践?

mysql - 在外语字段上使用 ORDER BY 子句

mysql - 如何在保留特定值的同时更新字段?

sql - 我的 Oracle View 使用了一个不存在的表,但我仍然可以查询它

mysql - PL SQL Procedure (Oracle) 比较 where 子句中的变量

sql - 在 SQL Server 中将 varchar 转换为日期时间

sql-server - 如何在不使用参数的情况下从结果集中获取逗号分隔的结果

sql - sql中对的分组

sql - MS Sql Server 2012 的查询优化

©2024 IT工具网  联系我们