J'ai une page Web, l'utilisateur peut sélectionner la colonne et filtrer la colonne et quand ils cliquent sur le bouton de recherche, il doit appeler la procédure stockée en passant la clause complète where.Comment passer la clause where à une procédure stockée SQL Server?
Je pense que c'est une si mauvaise idée de passer la clause where sur la procédure stockée, car cela peut provoquer une injection SQL.
C'est ma page
est-il un autre moyen à mes critères? Je devrais passer la valeur avec l'opérateur. Parce que l'utilisateur peut choisir différent opérateur de comparaison dans une situation différente
Puis-je créer comme ceci CREATE PROCEDURE [dbo]. [MyProc] @whereSql nvarchar (256) AS EXEC ('SELECT [champs] DE [tableau] WHERE' + @whereSql) GO ' –
@Abbas Ne recommande pas. –
N'utilisez pas EntiryFramework. – Phill