SQL查詢嚮導

Question

我想寫的Visual Studio的TableAdapter查詢嚮導

我的SQL查詢中的SQL查詢：

DECLARE @SQL varchar(255); 

SET @SQL = ' SELECT * FROM dbAddress WHERE 1 = 1' 

IF @ApexLine1 = '' 
    BEGIN 
     SET @SQL = @SQL + ' AND addLine1 IS NULL ' 
    END 
ELSE 
    BEGIN 
     SET @SQL = @SQL + ' AND addLine1 = ''' + @ApexLine1 + '''' 
    END 

IF @ApexLine2 = '' 
    BEGIN 
     SET @SQL = @SQL + ' AND addLine2 IS NULL ' 
    END 
ELSE 
    BEGIN 
     SET @SQL = @SQL + ' AND addLine2 = ''' + @ApexLine2 + '''' 
    END 

IF @ApexLine3 = '' 
    BEGIN 
     SET @SQL = @SQL + ' AND addLine3 IS NULL ' 
    END 
ELSE 
    BEGIN 
     SET @SQL = @SQL + ' AND addLine3 = ''' + @ApexLine3 + '''' 
    END 

IF @ApexZip = '' 
    BEGIN 
     SET @SQL = @SQL + ' AND addPostCode IS NULL ' 
    END 
ELSE 
    BEGIN 
     SET @SQL = @SQL + ' AND addPostCode = ''' + @ApexZip + '''' 
    END 

IF @ApexCity = '' 
    BEGIN 
     SET @SQL = @SQL + ' AND addLine4 IS NULL ' 
    END 
ELSE 
    BEGIN 
     SET @SQL = @SQL + ' AND addLine4 = ''' + @ApexCity + '''' 
    END 

IF @ApexProv = '' 
    BEGIN 
     SET @SQL = @SQL + ' AND addLine5 IS NULL ' 
    END 
ELSE 
    BEGIN 
     SET @SQL = @SQL + ' AND addLine5 = ''' + @ApexProv + '''' 
    END 

EXEC(@SQL) 

我得到的錯誤：

'聲明SQL構造或聲明不被支持'

如果我刪除了Declare語句，我得到錯誤：

'Set SQL構造或語句不受支持'

是否有解決此問題的方法？

謝謝。

Answer 1

這樣的事：

SET @SQL = @SQL + ' AND addLine1 = ''' + @ApexLine1 + '''' 

是EVIL。不要這樣做。如@ ApexLine1可能包含什麼，即使是這樣的變量：

';DROP TABLE dbAddress--

非常仔細地瞭解，如果有人在你的地址1個字段中輸入這樣的事情會發生什麼想法。唯一正確的解決方案是使用內置的sp_executesql存儲過程。學習它，使用它。

除此之外，我認爲你的問題的至少一部分可能是你的@SQL變量只有255個字符。很容易您的查詢耗盡空間。