- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在尝试编写简单的过滤,用户可以在其中输入要过滤的列和值。棘手的部分是动态选择要过滤的列。
我在网上找到了几个解决方案,但不确定要实现哪个。我的偏好是倾向于性能而不是可维护性。任何意见将不胜感激。
假设我有一个表“t”,它有 5 个 VARCHAR 列:“c1”、“c2”、“c3”、“c4”和“c5”。
我可以使用动态 SQL。大概是这样的:
DECLARE @sql VARCHAR(MAX) = 'SELECT * FROM t WHERE ' + @columnName + ' = ''' + @columnValue + ''';'
EXEC (@sql);
结果会是这样的:
SELECT *
FROM t
WHERE c1 = 'asdf'
;
出于以下两个原因,我不想使用此解决方案。在进入兔子洞之前,我主要将其作为一个简单的引用点。
可以使用一系列只有两个参数的 OR。所以让我们说:
@columnName = 'c1'
@columnValue = 'asdf'
那么 SQL 会变成:
SELECT *
FROM t
WHERE (@columnName = 'c1' AND c1 = @columnValue)
OR (@columnName = 'c2' AND c2 = @columnValue)
OR (@columnName = 'c3' AND c3 = @columnValue)
OR (@columnName = 'c4' AND c4 = @columnValue)
OR (@columnName = 'c5' AND c5 = @columnValue)
OR (@columnName IS NULL AND 0 = 0)
;
我通常尽量避免使用 OR。我记得在某处读到它遇到性能问题,但我不是 DBA,无法支持它。想法?
此解决方案依赖于为每列设置一个参数。所以参数应该是这样的:
@c1 = 'asdf';
@c2 = NULL;
@c3 = NULL;
@c4 = NULL;
@c5 = NULL;
SQL 出来:
SELECT *
FROM t
WHERE c1 = COALESCE(@c1, c1)
AND c2 = COALESCE(@c2, c2)
AND c3 = COALESCE(@c3, c3)
AND c4 = COALESCE(@c4, c4)
AND c5 = COALESCE(@c5, c5)
;
有人对实现什么方法有意见吗?我倾向于 COALESCE,但在这件事上我没有确切的数字或经验。也许有更好的做事方式?
最佳答案
最安全的方法:
DECLARE @sql NVARCHAR(MAX) = N'SELECT * FROM dbo.t WHERE '
+ QUOTENAME(@columnName) + ' = @ColumnValue;';
EXEC sp_executesql @sql, N'@ColumnValue VARCHAR(255)', @ColumnValue;
为了进一步防止 SQL 注入(inject),您可以先检查:
IF @columnName NOT IN (N'c1',N'c2',N'c3',N'c4',N'c5')
BEGIN
RAISERROR('Nice try! %s is not valid.', 11, 1, @columnName);
RETURN;
END
或如@HABO 建议的那样,针对 sys.columns
目录 View :
IF NOT EXISTS
(
SELECT 1 FROM sys.columns WHERE name = @ColumnName
AND [object_id] = OBJECT_ID('dbo.t')
)
BEGIN
RAISERROR('Nice try! %s is not valid.', 11, 1, @columnName);
RETURN;
END
特别是当与 Optimize for ad hoc 工作负载
结合使用时,可能有 5 个不同的执行计划 - 因为它们毕竟是 5 个不同的查询,可以根据不同的索引进行不同的优化列,这些列中的数据分布等。
您的 OR
和 COALESCE
版本 - 除非您每次都支付编译命中 - 无论如何都会使用 same 计划提供了列,因此它可能适用于某些情况,但不适用于其他情况。而且每个人得到的计划不会基于什么是最好的,而是基于哪个参数先发送。
另外,如果您担心性能,也许不要使用 SELECT *
- 特别是如果您不需要所有列。即使您这样做了,您也永远不知道何时有人向表中添加了 blob 或几何或 XML 或其他昂贵的列,并且您的代码会检索它,即使它并不关心它。
关于sql - 具有动态 WHERE 列的参数化 SQL,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18412145/
我是一名优秀的程序员,十分优秀!