SQL 查询通配符搜索

Question

我正在编写一个绑定到列表视图的 C# 网页。我的客户希望能够输入可以显示结果的内容或内容的一部分。例如，他想要一个文本框，他可以在其中输入电话号码、电话号码的一部分、姓名、城市或其他任何内容，并且会有一个可以找到然后列出信息的 SP。如何在 SQL Sp 或 VS 2010 中完成此操作？

Answer 1

SELECT cols FROM tbl WHERE field LIKE '%' + @input + '%'

Answer 2

正如其他几个人所建议的，使用 LIKE 运算符。

但是，不要像其他人建议的那样将用户输入的数据直接放入您的 LIKE 子句中。这导致了一个非常简单且非常危险的漏洞，称为 SQL 注入攻击。

如果将用户的输入直接插入

SELECT cols FROM tbl WHERE field LIKE '%' + input + '%'

然后用户可以在文本框中输入以下内容：

;删除表 tbl; --

（例如），这使得你的SQL语句变成：

SELECT cols FROM tbl WHERE field LIKE '%';  (the first part of your query)
DROP TABLE tbl;    (the injected sql that you don't want to let people run; drop the database table)
-- '%'   (the rest of your previous query is commented out)

始终确保您使用了参数化的 SQL 语句，或者至少对您的输入进行了清理。您真的不希望人们能够在您的数据库服务器上运行任意 SQL。

Jeff Atwood（声名狼藉）对此有一个简短的posting。 也值得一读this :)

Answer 3

大多数人都找到了解决方案的一部分——使用 LIKE 运算符。

但我认为问题的另一个方面可以在 SQL 中解决。

创建一个计算的 varchar(MAX) 列。在此字段上启用全文索引。然后你需要做的就是做一个像这样的sql：

SELECT * from <TABLE_NAME> WHERE Keywords like '%<search term>%'

这样你就不必做phone like <search>或name like <search>等。

Answer 4

使用LIKE 运算符。

SELECT * FROM Table WHERE PhoneNumber LIKE '%value%' OR Name LIKE '%value%' OR 
City LIKE '%value%'

Answer 5

如果您想使用一个文本框，它可以包含多种不同类型的数据，您需要在代码中具体说明您将搜索哪些数据库表和列以及搜索顺序。

例如，您可以编写一个这样的查询：

• 首先，在客户表中搜索 在 FirstName 和 LastName 列中 对于一个名字喜欢的那个 文本框。选择 CustomerID 所有比赛。
• 接下来，在 Customer 中搜索 表和供应商表，在 PhoneNumber 列，用于电话 数字喜欢文本框中的那个。 选择 CustomerID 或 SupplierID 对于所有的比赛。如果找到任何结果，请将它们与第一个查询的结果结合起来。
• 继续搜索街道 地址，并查询其他表。
• 将新记录添加到结果集中 你去吧。
• 查询完所有要搜索的表后，您将获得一个包含 ID 的结果集。您需要执行另一系列 SELECT 以获取要显示给用户的信息。如果您将客户和供应商（以及员工等）混在一起，这可能会变得相当复杂。

从这里可以看出，为每个搜索条件设置单独的文本框会容易得多。一个文本框用于名字，另一个用于姓氏，第三个用于公司名称。电话号码的单独文本框。如果您要混合客户、供应商、员工等的数据，您应该让用户指明（可能在下拉列表中或使用复选框）要搜索的人员类型，以便您知道要查询哪些表。