而在对用户进行查询时,也可能会使用到多种条件的查询方式,如通过工号查询、通过姓名查询、通过性别查询、通过学历查询等。也有可能会通过多种条件的组合查询,如查学历是大专的女员工等。对于这种查询情况,通常的作法是让用户输入查询条件,再进行SQL语句组合来进行查询。如让用户输入工号、姓名等,单击提交按钮之后,在后台获得这些信息,如以下代码所示:
复制代码 代码如下:
//设置查询语句string strSql = "SELECT * FROM [user] where UserState=1 ";//如果用户名不为空则添加查询条件if (UserName!=""){strSql += "and (UserName'= "+UserName+"') ";}//如果性别不为空则添加查询条件if (Sex!=""){strSql += "and (Sex'= "+Sex+"') ";}
在创建完SQL语句之后,执行该语句获得查询结果。这种是使用得最多并且是最不安全的方法,因为这是最容易让别人SQL注入攻击的一个方式。如果想要避免SQL注入攻击,可以将查询语句写在存储过程中,然后使用SqlParameter将参数传递给存储过程,但是,一个多条件查询的存储过程需要怎么写呢?其实,这个存储过程并不难,可以使用以下方式:
复制代码 代码如下:
CREATE PROCEDURE [dbo].[UserCheck]@UserId varchar(50) = null,@UserName varchar(20) = null,@RealName varchar(20) = null,@Sex bit = null,@JobTitle varchar(50) = null,@Organ varchar(50) = null,@IDCardType smallint = null,@IDCard varchar(50) = null,@Mobile varchar(50) = nullASbeginselect * from [user]where UserId like case when @UserId is null then UserId else @UserId endand UserName like case when @UserName is null then UserName else @UserName endand RealName like case when @RealName is null then RealName else @RealName endand Sex = case when @Sex is null then Sex else @Sex endand JobTitle like case when @JobTitle is null then JobTitle else @JobTitle endand Organ like case when @Organ is null then Organ else @Organ endand IDCardType = case when @IDCardType is null then IDCardType else @IDCardType endand IDCard like case when @IDCard is null then IDCard else @IDCard endand Mobile like case when @Mobile is null then Mobile else @Mobile endEND
发表评论