Sql:多条件查询的程序

在一个网站中，常常会使用到查询功能。假设一个企业内部网中，用户信息里通常会涉及到工号、姓名、性别、学历、职业、职称、身份证号码、手机号码、座机号码、传真号码、邮政编号、通讯地址等信息。而在对用户进行查询时，也可能会使用到多种条件的查询方式，如通过工号查询、通过姓名查询、通过性别查询、通过学历查询等。也有可能会通过多种条件的组合查询，如查学历是大专的女员工等。

    对于这种查询情况，通常的作法是让用户输入查询条件，再进行SQL语句组合来进行查询。如让用户输入工号、姓名等，单击提交按钮之后，在后台获得这些信息，如以下代码所示：

 

//设置查询语句  
string strSql = "SELECT * FROM [user] where UserState=1 ";  
//如果用户名不为空则添加查询条件  
if (UserName!="")  
{  
    strSql += "and (UserName'= "+UserName+"') ";  
}  
//如果性别不为空则添加查询条件  
if (Sex!="")  
{  
    strSql += "and (Sex'= "+Sex+"') ";  
} 
//设置查询语句
string strSql = "SELECT * FROM [user] where UserState=1 ";
//如果用户名不为空则添加查询条件
if (UserName!="")
{
 strSql += "and (UserName'= "+UserName+"') ";
}
//如果性别不为空则添加查询条件
if (Sex!="")
{
 strSql += "and (Sex'= "+Sex+"') ";
}

    在创建完SQL语句之后，执行该语句获得查询结果。

    这种是使用得最多并且是最不安全的方法，因为这是最容易让别人SQL注入攻击的一个方式。

    如果想要避免SQL注入攻击，可以将查询语句写在存储过程中，然后使用SqlParameter将参数传递给存储过程，但是，一个多条件查询的存储过程需要怎么写呢？

    其实，这个存储过程并不难，可以使用以下方式：

CREATE PROCEDURE [dbo].[UserCheck]
 @UserId varchar(50) = null,
 @UserName varchar(20) = null,
 @RealName varchar(20) = null,
 @Sex bit = null,
 @JobTitle varchar(50) = null,
 @Organ varchar(50) = null,
 @IDCardType smallint = null,
 @IDCard varchar(50) = null,
 @Mobile varchar(50) = null
AS
BEGIN
 select * from [user]
  where UserId like case when @UserId is null then UserId else @UserId end
  and UserName like case when @UserName is null then UserName else @UserName end
  and RealName like case when @RealName is null then RealName else @RealName end
  and Sex = case when @Sex is null then Sex else @Sex end
  and JobTitle like case when @JobTitle is null then JobTitle else @JobTitle end
  and Organ like case when @Organ is null then Organ else @Organ end
  and IDCardType = case when @IDCardType is null then IDCardType else @IDCardType end
  and IDCard like case when @IDCard is null then IDCard else @IDCard end
  and Mobile like case when @Mobile is null then Mobile else @Mobile end
END