如何在存储过程中的t-sql动态语句中使用LIKE?
[英]How to use LIKE in a t-sql dynamic statement in a stored procedure?
问题描述
我正在尝试使用包含参数的%通配符的LIKE关键字,但我不确定如何在不破坏它的情况下将%字符放入语句中。 现在我有:
SET @SQLQuery = 'SELECT * FROM [tblApps] WHERE [firstName] LIKE %@search%'
我的.net应用程序中出现SqlException错误,当我运行它时,“@ search”附近的语法不正确。如果删除@search参数周围的%字符,则错误消失。
5 个解决方案
解决方案1
22 已采纳 2011-03-21 21:04:06
%字符必须在搜索字符串中...
SET @search = '%' + @search + '%'
SET @SQLQuery = 'SELECT * FROM [tblApps] WHERE [firstName] LIKE @search'
请注意,以下内容也可以,但引入了SQL注入漏洞的可能性......
-- DON'T do this!
SET @SQLQuery = 'SELECT * FROM [tblApps] WHERE [firstName] LIKE ''%' + @search + '%'''
解决方案2
4 2011-03-21 21:26:49
SET @SQLQuery = 'SELECT * from [tblApps] WHERE [firstName] LIKE ''%'' + @search + ''%'''
exec sp_executesql @query=@SQLQuery, @params=N'@search nvarchar(96)', @search=@search
与其他版本相比,与该版本的唯一区别在于,sql的动态执行实际上是参数化的,这有点减轻了sql注入。
解决方案3
1 2011-03-21 21:09:39
SET @search = '%' + @search
SET @SQLQuery = 'SELECT * FROM [tblApps] WHERE [firstName] LIKE ' + @search + '%'
解决方案4
0 2015-09-26 14:49:20
这对我有用!
SET @search = '''%' + @search + '%'''
SET @SQLQuery = 'SELECT * FROM [tblApps] WHERE [firstName] LIKE' + @search
EXEC sp_executesql @SQLQuery
解决方案5
0 2016-12-02 13:01:53
declare @Cmd nvarchar(2000)
declare @eName varchar(10)
set @eName='a'
set @Cmd= 'select * from customer1 where name LIKE '''+'%' +@eName+ '%' + ''''
print @Cmd
EXECUTE sp_executesql @Cmd
T-SQL:如何从存储过程返回0行,以及如何使用XACT_ABORT和TRY / CATCH
[英]T-SQL: How to return 0 rows in from stored procedure, and how to use XACT_ABORT and TRY/CATCH
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.