Parameter in der Abfrage mit in-Klausel?

Ich möchten, verwenden Sie den parameter für die Abfrage wie diese :

SELECT * FROM MATABLE
WHERE MT_ID IN (368134, 181956)

so, ich denke, über diesen

SELECT * FROM MATABLE
WHERE MT_ID IN (:MYPARAM)

aber es funktioniert nicht...

Gibt es eine Möglichkeit, dies zu tun ?

Ich eigentlich verwenden Sie IBX und Firebird 2.1

Ich weiß nicht, wie viele Parameter in der IN-Klausel.

AFAIK SQL selbst nicht erlauben, Parameter in Klauseln. Einige workarounds funktioniert, siehe andere Antworten, aber seien Sie sich bewusst von SQL-injection-Risiken.
Ich habe vor kurzem versucht, das gleiche zu tun, mit MS SQL Server und das hat nicht funktioniert entweder.

InformationsquelleAutor Hugues Van Landeghem | 2009-11-17

  1. 5

    Landete ich mit einer globalen temporären Tabelle in Firebird, einfügen von Parameterwerten ersten und zum abrufen von Ergebnissen, die ich mit einem regulären JOIN statt einer WHERE ... IN - Klausel. Die temporäre Tabelle ist vorgangsbezogen und geräumt, commit (ON COMMIT DELETE ROWS).

    InformationsquelleAutor Ondrej Kelle

  2. 9

    Für wen auch immer ist, noch interessiert. Ich habe es in Firebird 2.5 mit einer anderen gespeicherten Prozedur inspiriert von diesem post.

    Wie teilt man durch Komma getrennte Zeichenfolge innerhalb der gespeicherten Prozedur?

    CREATE OR ALTER PROCEDURE SPLIT_STRING (
    ainput varchar(8192))
RETURNS (
    result varchar(255))
AS
DECLARE variable lastpos integer;
DECLARE variable nextpos integer;
DECLARE variable tempstr varchar(8192);
BEGIN
  AINPUT = :AINPUT || ',';
  LASTPOS = 1;
  NEXTPOS = position(',', :AINPUT, LASTPOS);
  WHILE (:NEXTPOS > 1) do
  BEGIN
    TEMPSTR = substring(:AINPUT from :LASTPOS for :NEXTPOS - :LASTPOS);

    RESULT = :TEMPSTR;
    LASTPOS = :NEXTPOS + 1;
    NEXTPOS = position(',', :AINPUT, LASTPOS);
    suspend;
  END

END

    Wenn Sie übergeben die SP der folgenden Liste

    CommaSeperatedList = 1,2,3,4

    - und call -

    SELECT * FROM SPLIT_STRING(:CommaSeperatedList)

    das Ergebnis wird sein :

    RESULT
1
2
3
4

    Und kann wie folgt verwendet werden: 

    SELECT * FROM MyTable where MyKeyField in ( SELECT * FROM SPLIT_STRING(:CommaSeperatedList) )
    Wenn Sie brauchen, reasult as integer, ändern Sie Art der Ausgabe von varchar(255) integer und ersetzen RESULT = :TEMPSTR; durch diese RESULT = cast(:TEMPSTR as integer);.

    InformationsquelleAutor Plofstoffel

  3. 4

    Vielleicht sollten Sie wite es so:

    SELECT * FROM MATABLE
WHERE MT_ID IN (:MYPARAM1 , :MYPARAM2)
    Diese Arbeit sollte jedoch, wenn seine filter-Liste ist nicht fest, er wird konstruieren müssen jede Bedingung einzeln.
    Ich schon machen, aber das habe ich zum erstellen von SQL von hand, das hängt davon ab, wie viele Parameter, die ich brauche. Ich will nur von SQL

    InformationsquelleAutor Yurish

  4. 3

    Ich glaube nicht, dass es etwas, das getan werden kann. Gibt es einen bestimmten Grund, warum Sie nicht möchten, bauen Sie die Abfrage selbst?

    Ich habe diese Methode ein paar mal, es spielt keine Parameter verwenden, though. Es verwendet eine stringlist, und es die Eigenschaft DelimitedText. Erstellen Sie eine IDList, und füllen Sie es mit Ihren IDs.

    Query.SQL.Add(Format('MT_ID IN (%s)', [IDList.DelimitedText]));
    Was ist Los mit ihm? Siehe stackoverflow.com/questions/332365/...
    ja, es ist schrecklich falsch, wenn wir reden über Benutzereingaben, aber ich habe die Vermutung, dass, da es eine Liste von IDs, es ist nicht etwas, das Benutzer liefern würde. In diesem Fall hätte ich erwartet, Produkt-codes, Rechnung zahlen etc. Es kann ein Fehler gewesen sein von mir und ich danke dir für die Verbesserung meiner Antwort.
    Sie mögen Recht haben, dass in diesem speziellen Fall SQL-injection nicht möglich sein kann, aber es ist eine echte Bedrohung zu sein scheint, so schwierig für die Menschen zu verstehen / denken Sie daran, dass ich denke, man sollte konsequent sein und nicht Dinge tun, wie diese, überhaupt.
    +1. Wenn die IN Liste ist relativ kurz, Dies ist der einfachste und Schnellste Ansatz IMHO. (SQL-injection vermieden werden können, wenn Sie darauf achten, was du tust)

    InformationsquelleAutor johnny

  5. 3

    Könnten Sie auch interessieren, bei der Lektüre der folgenden Schritte aus:

    http://www.sommarskog.se/dynamic_sql.html

    und

    http://www.sommarskog.se/arrays-in-sql-2005.html

    Deckt dynamische sql mit " in " - Klauseln und alle Arten. Sehr interessant.

    Ganz richtig : sehr interressant.

    InformationsquelleAutor shunty

  6. 2

    Parameter sind Platzhalter für einzelne Werte, das bedeutet, dass eine Klausel akzeptiert, die eine durch Komma getrennte Liste von Werten, nicht mit Parametern.

    Denken Sie an es auf diese Weise: wo immer ich einen Wert, kann ich mit einem parameter.

    So, in einer Klausel wie: IN (:param)

    Kann ich binden der variable an einen Wert, sondern nur 1 Wert, z.B.: IN (4)

    Nun, wenn Sie denken, dass eine "IN-Klausel value-Ausdruck", erhalten Sie eine Zeichenfolge von Werten: IN (1, 4, 6) -> das sind 3 Werte mit Kommas zwischen Ihnen. Das ist ein Teil des SQL-Strings, die nicht Teil von einem Wert, der ist, warum es nicht gebunden werden kann, die durch einen parameter.

    Offensichtlich ist dies nicht das, was Sie wollen, aber es ist das einzige, was möglich ist mit Parametern.

    InformationsquelleAutor Martijn Tonies

  7. 1

    Die Antwort von Yurish ist eine Lösung in zwei von drei Fällen:

    • wenn Sie haben eine begrenzte Anzahl von Elementen, die Hinzugefügt, um Ihr in Ziffer
    • oder, wenn Sie bereit sind, Parameter zu erstellen, on the fly für jede benötigte element (Sie wissen nicht, die Anzahl der Elemente in design-Zeit)

    Aber wenn Sie wollen, um die beliebige Anzahl der Elemente, und manchmal keine Elemente, dann können Sie erzeugen SLQ-Anweisung on-the-fly. Mit format hilft.

    Ja, ich wollen beliebige Anzahl von Elementen, und ich will nicht zum generieren von SQL-Anweisung.
    Ich glaube nicht, dass das möglich ist, aber ich Wünsche mir, dass ich falsch bin. Ich wollte genau das tun und sich für das schreiben der SQL-mich. Vorbereitete Abfragen machen nur Sinn in der DB-engine weiß, was zu erwarten ist (wie viele Parameter sowie Ihre jeweiligen Arten). Selbst Wenn es einen Weg zum einstellen beliebiger Anzahl von ein-ich denke, es wäre keine Leistungssteigerung im Vergleich zu nur "überraschend" der DB Motor mit dem frischen Abfrage jedes mal.
    Die Verwendung von Parametern ist nicht nur für performance-Gewinne, ist es notwendig, den Schutz vor SQL-injection-Angriffe. Entweder Sie verbringen eine Menge Aufwand bereinigen Sie Ihre Eingabe parameter strings, oder Sie behandeln Sie, wie die Parameter sind.
    "Notwendig" nur, wenn der SQL Fall in Frage, ist anfällig zu einem injection-Angriff. Wenn der SQL formatiert ist, durch die code-Umwandlung von ganzzahligen Werten im Arbeitsspeicher Eigenschaften (.ID) eines Objektes(s) zum einbetten in einigen literalen SQL-Anweisung dann das Potenzial für eine injection-Angriff ist vernachlässigbar. Nur weil eine Frage beinhaltet, SQL und Parameter bedeutet nicht, dass alle Anliegen mit SQL und Parameter unbedingt gelten. afaic Leistung ist die einzige bedeutende Sorge ist in diesem Fall imho, und ich würde vorsichtig sein, vorausgesetzt, dass formatierte SQL wäre inakzeptabel, dass die Punktzahl ohne zu testen.
    Ich denke, es ist besser, sich zu irren auf der Seite der Vorsicht. Ich glaube nicht, dass die Entwickler eine Gründliche Risiko-Analyse jedes mal, wenn Sie bauen SQL-Anweisungen wie diese. Deshalb ist es IMHO besser, völlig verlassen die Praxis.

    InformationsquelleAutor Mihaela

  8. 1

    SELECT * FROM MATABLE
    WO MT_ID IN (:MYPARAM) anstatt MYPARAM mit :, verwenden Sie den parameter name.

    wie SELECT * FROM MATABLE
    WO MT_ID IN (SELECT REGEXP_SUBSTR(**MYPARAM    ,'[^,]+', 1, EBENE)
    VON DUAL
    DIE VERBINDUNG VON REGEXP_SUBSTR(MYPARAM, '[^,]+', 1, EBENE) IST NICHT NULL))**

    MYPARAM- '368134,181956'

    InformationsquelleAutor Rajesh D

  9. 0

    Wenn Sie Oracle verwenden, dann sollten Sie definitiv check out Tom Kyte ' s blog-post über genau dieses Thema (link).

    Folgenden Herr Kyte s führen, hier ein Beispiel:

    SELECT *
  FROM MATABLE
 WHERE MT_ID IN
       (SELECT TRIM(substr(text, instr(text, sep, 1, LEVEL) + 1,
                           instr(text, sep, 1, LEVEL + 1) -
                            instr(text, sep, 1, LEVEL) - 1)) AS token
          FROM (SELECT sep, sep || :myparam || sep AS text
                  FROM (SELECT ',' AS sep
                          FROM dual))
        CONNECT BY LEVEL <= length(text) - length(REPLACE(text, sep, '')) - 1)

    Wo Sie binden würde :MYPARAM zu '368134,181956' in Ihrem Fall.

    Oracle-Modus arbeiten nicht für Firebird, aber das scheint das zu sein was ich brauche

    InformationsquelleAutor Tom

  10. 0

    Hier ist eine Technik, die ich in der Vergangenheit verwendet haben, um zu bekommen, die 'IN' - Anweisung problem. Es erstellt eine 'ODER' - Liste basierend auf der Anzahl der angegebenen Werte mit den Parametern (einzigartig). Dann alles, was ich zu tun hatte, war, fügen Sie die Parameter in der Reihenfolge, wie Sie erschienen in der mitgelieferten Liste Wert.

    var  
  FilterValues: TStringList;
  i: Integer;
  FilterList: String;
  Values: String;
  FieldName: String;
begin
  Query.SQL.Text := 'SELECT * FROM table WHERE '; //set base sql
  FieldName := 'some_id'; //field to filter on
  Values := '1,4,97'; //list of supplied values in delimited format
  FilterList := '';
  FilterValues := TStringList.Create; //will get the supplied values so we can loop
  try
    FilterValues.CommaText := Values;

    for i := 0 to FilterValues.Count - 1 do
    begin
      if FilterList = '' then
        FilterList := Format('%s=:param%u', [FieldName, i]) //build the filter list
      else
        FilterList := Format('%s OR %s=:param%u', [FilterList, FieldName, i]); //and an OR
    end;
    Query.SQL.Text := Query.SQL.Text + FilterList; //append the OR list to the base sql

    //ShowMessage(FilterList); //see what the list looks like. 
    if Query.ParamCount <> FilterValues.Count then
      raise Exception.Create('Param count and Value count differs.'); //check to make sure the supplied values have parameters built for them

    for i := 0 to FilterValues.Count - 1 do
    begin
      Query.Params[i].Value := FilterValues[i]; //now add the values
    end;

    Query.Open;  
finally
  FilterValues.Free;  
end;

    Hoffe, das hilft.

    bereits aus diesem in ein Projekt, aber mein Ziel war es ohne pascal-code
    Das dürfte sehr schwierig werden. Ich habe jahrelang gekämpft. Wenn Sie Komponenten, die Unterstützung von Makros können Sie dieses Ziel erreichen, aber mit Parametern, die ich bezweifle es und auf der server-Seite, ich habe nicht in der Lage gewesen, dies zu erreichen.

    InformationsquelleAutor yozey

  11. 0

    Gibt es einen trick, um Umgekehrt SQL LIKE Zustand.

    Passieren Sie die Liste als string (VARCHAR) parameter wie '~12~23~46~567~'

    Dann u-query wie
    where ... :List_Param LIKE ('%~' || CAST( NumField AS VARCHAR(20)) || '~%')

    InformationsquelleAutor Arioch 'The

  12. 0
    CREATE PROCEDURE TRY_LIST (PARAM_LIST VARCHAR(255)) RETURNS (FIELD1....) 
AS 
BEGIN
 /* Check if :PARAM_LIST begins with colon "," and ands with colon "," 
    the list should look like this --> eg. **",1,3,4,66,778,33,"**          
    if the format of list is right then GO if not just add then colons
 */
 IF (NOT SUBSTRING(:PARAM_LIST FROM 1 FOR 1)=',') THEN PARAM_LIST=','||PARAM_LIST;
 IF (NOT SUBSTRING(:PARAM_LIST FROM CHAR_LENGTH(:PARAM_LIST) FOR 1)=',') THEN PARAM_LIST=PARAM_LIST||',';

/* Now you are shure thet :PARAM_LIST format is correct */
/ * NOW ! */
FOR SELECT * FROM MY_TABLE WHERE POSITION(','||MY_FIELD||',' in :PARAM_LIST)>0 
INTO :FIELD1, :FIELD2 etc... DO
BEGIN
  SUSPEND;
END

END

How to use it.

SELECT * FROM TRY_LIST('3,4,544,87,66,23')
or SELECT * FROM TRY_LIST(',3,4,544,87,66,23,') 
if the list have to be longer then 255 characters then just change the part of header f.eg. like PARAM_LIST VARCHAR(4000)

    InformationsquelleAutor Kazmirus

Schreibe einen Kommentar