[转][SQL Server] 如果想动态 In 应该怎么写？

来自：TONGYI Lingma

 

在 SQL Server 中，如果你需要动态生成 IN 子句来匹配一组不确定数量的值，你不能直接在预编译的 SQL 语句中使用一个动态的列表。但你可以通过以下几种方法实现动态 IN 查询：

方法一：参数化查询（适用于少量可变参数）

对于少量（通常数据库驱动程序允许的最大参数数限制内）可变的输入值，可以创建一个存储过程或动态SQL语句，并为每个可能的IN条件值传递一个参数。例如：

CREATE PROCEDURE GetItemsByDynamicIds
    @ids NVARCHAR(MAX)
AS
BEGIN
    DECLARE @sql NVARCHAR(MAX);

    SET @sql = N'SELECT * FROM YourTable WHERE Id IN (' + REPLACE(@ids, ',', ', ') + ')';
    -- 或者确保安全性和正确性，可以使用参数化查询结合表值参数：
    -- SET @sql = N'SELECT * FROM YourTable WHERE Id IN (SELECT Id FROM @IdsTable)';

    EXEC sp_executesql @sql, N'@IdsTable dbo.IdsTableType READONLY', @IdsTable = @ids;
END

这里假设有一个表值类型（比如 dbo.IdsTableType）用于存储多个ID。

 

方法二：临时表或表变量

如果你有一大堆值要处理，可以先将这些值插入到临时表或表变量中，然后用这个临时结构进行JOIN操作：

DECLARE @TempTable TABLE (Id INT);

-- 动态插入值到临时表
INSERT INTO @TempTable (Id)
VALUES (...), (...); -- 这里根据实际值动态插入

-- 使用临时表进行查询
SELECT yt.*
FROM YourTable yt
JOIN @TempTable tt ON yt.Id = tt.Id;

 

方法三：动态SQL与字符串拼接（需注意SQL注入风险）

在一些场景下，特别是当值集合从应用程序端动态获取时，可以构建包含所有值的字符串并在运行时拼接成SQL语句执行：

DECLARE @ids NVARCHAR(MAX) = N'1, 2, 3'; -- 这个应该来自外部数据源并确保安全
DECLARE @sql NVARCHAR(MAX);

SET @sql = N'SELECT * FROM YourTable WHERE Id IN (' + @ids + ')';

EXEC sp_executesql @sql; 

请注意：这种方法存在SQL注入的风险，务必对用户提供的任何输入进行严格的验证和清理，或者使用参数化查询结合上述提到的表值参数的方法。

 

总结

推荐使用参数化查询结合表值参数的方法，因为它既能够防止SQL注入，又能处理大量动态的输入值。在处理动态SQL时，始终牢记SQL注入的安全问题，并尽可能采用最安全的做法。