where節をSQL Serverストアドプロシージャに渡す方法は？

Question

私はウェブページを持っているので、そこではカラムを選択してカラムをフィルタリングし、検索ボタンをクリックすると完全なwhere句を渡してストアドプロシージャを呼び出す必要があります。

SQLインジェクションが発生する可能性があるため、ストアドプロシージャにwhere句を渡すのは悪い考えです。

これは

私のページである私の判断基準に他の方法はありますか？私は演算子で値を渡す必要があります。ユーザーは異なる状況で異なる比較演算子を選択する可能性があるため、

Answer 1

このようなwhere節を渡すことは、実際には非常に悪い習慣になります。いくつかのオプションがあります。ですから、このvableを構築Condition、Column、Value

：

1. 使用Entity Frameworkを使用table-valued parameters生のクエリに
2. を構築するためには、ストアドプロシージャ
   • には3つの列を含めることができますあなたのコードの変数とSQL Serverストアドプロシージャにこれらの値に基づいて、クエリを動的に構築することができますに送信します。
3. 他にも解決策がいくつかありますが、これが最初の正しい解決策です。