Sql Server 中将由逗号“，”分割的一个字符串转换为一个表集，并应用到 in 条件中

Sql Server 中将由逗号“，”分割的一个字符串，转换为一个表，并应用与 in 条件

select * from tablenmae where id in(1,2,3)

这样的语句和经常使用，可是若是in 后面的 1，2，3是变量怎么办呢，通常会用字符串链接的方式构造sql语句

string aa=”1,2,3”;

string sqltxt=”select * from tablename where id in (“+aa+”)”;

而后执行 sqltxt

这样的风险是存在sql注入漏洞。那么如何在 in 的条件中使用变量呢？能够把形如“1,2,3”这样的字符串转换为一个临时表，这个表有一列，3行，每一行存一个项目（用逗号分隔开的一部分）

该函数能够这样写:

create Function StrToTable(@str varchar(1000)) 
Returns @tableName Table 
( 
str2table varchar(50) 
) 
As 
–该函数用于把一个用逗号分隔的多个数据字符串变成一个表的一列，例如字符串’1,2,3,4,5’ 将编程一个表，这个表 
Begin 
set @str = @str+’,’ 
Declare @insertStr varchar(50) –截取后的第一个字符串 
Declare @newstr varchar(1000) –截取第一个字符串后剩余的字符串 
set @insertStr = left(@str,charindex(‘,’,@str)-1) 
set @newstr = stuff(@str,1,charindex(‘,’,@str),”) 
Insert @tableName Values(@insertStr) 
while(len(@newstr)>0) 
begin 
set @insertStr = left(@newstr,charindex(‘,’,@newstr)-1) 
Insert @tableName Values(@insertStr) 
set @newstr = stuff(@newstr,1,charindex(‘,’,@newstr),”) 
end 
Return 
End

而后sql语句就能够这样了

declare str vchar(100); --定义str变量

set str=’1,2,3’; --给变量赋值

select * from tablename where id in (select str2table from StrToTable(@str) )

解释:

A. select str2table from StrToTable(1,2,3) --调用函数StrToTable(1,2,3),执行出来的结果就是:(由逗号“，”分割的一个字符串(1,2,3)，转换为一个字段的表结果集)

str2table
1
2
3

 

 

 

 

B.
select * from tablename where id in (select str2table from StrToTable(1,2,3)) 
就至关于执行了
select * from tablename where id in (1,2,3)

最后:附一个实际项目sql例子

declare @str varchar(1000)  --定义变量

select @str=hylb from [dbo].[f_qyjbxx] where qyid = ${qyid} --给变量赋值

select xsqxtbzd+','
from [dbo].[d_hylb]
where hylbid in (select str2table from strtotable(@str))  --调用函数
      for xml path('');  --将查询结果集以XML形式展示(将结果集以某种形式关联成一个字符串)