方法一:可以使用exec,把整个sql当做参数来执行
例如:
exec ('select * from OrganiseUnit where OrganiseCode in ('+@OrganiseCode+')');
这样存储过程修改复杂,没有防注功能。
方法二:我们采用另一种方案来解决,先写一个SQL函数,功能是分割字符串
create function SplitIn(@c varchar(2000),@split varchar(2))
returns @t table(col varchar(20))
as
begin
while(charindex(@split,@c)<>0)
begin
insert @t(col) values (substring(@c,1,charindex(@split,@c)-1))
set @c = stuff(@c,1,charindex(@split,@c),'')
end
insert @t(col) values (@c)
return
end
returns @t table(col varchar(20))
as
begin
while(charindex(@split,@c)<>0)
begin
insert @t(col) values (substring(@c,1,charindex(@split,@c)-1))
set @c = stuff(@c,1,charindex(@split,@c),'')
end
insert @t(col) values (@c)
return
end
我们为这个函数传入字符串和分隔符,他就能将字符串按指定符号分割并作为查询结果返回。
例如:执行select col from SplitIn('10000001,10000002,10000003',',')
返回:
10000001
10000002
10000003
有了这个函数,我们就有了新的解决方案了
定义参数@OrganiseCode,为其传入字符串,这个参数由一个或多个OrganiseCode构成,中间用“,”分割;
调用方式:select * from OrganiseUnit where OrganiseCode in (select col from SplitIn(@OrganiseCode,','))
方法三:用字符串检索函数
SELECT count(1) Into :li_dsj_cnt1 From t_hlcm_dsj_lsb Where charindex(dq , :ls_dq_string) > 0 ;
不过这个使用检索结果是模糊检索,就是 charindex('你好' ,'你好啊') > 0 也会返回true。
暂时只有以上三种方法,根据情况自己选择吧。