❶ sql操作界面和我熟悉的不一样,求解决
版本不同。早期的查询分析器即为第二张图,SQL2005后则是SSMS即第一张图这样的。
在SSMS里没有数据库视图了,并且数据库对象列表也与早期的有一些区别。
连接状态都是通过数据库服务图标上的小标记来区分:绿色三角是已连接,红色方块是未连接,空白是服务状态未知。
对数据库或数据库中的各种对象的操作都在鼠标右键的弹出菜单中。
但从功能上并没有差别:
在列表中选择一个数据库,然后点击工具栏中的“新建查询”即可新建一个针对该数据库的空白查询脚本编写窗口:
❷ SQL参数的使用
错在,(@a=@b)表示两个变量是否相等,你输入的不等当然出来的结果为空。
❸ sql怎么使用参数化
采用sp_executesql 系统存储过程,执行sql语句,就能传入参数,
这就是sql参数化sql脚本参数化
你可以根据上面的例子,将sql脚本中定义参数,然后后面赋值参数变量,
在查询分析器中执行,你就可以知道sql参数化的具体实现和概念了。
如有疑问,请及时沟通!
请采纳!
❹ 怎么在sql2008中添加带参数的视图,把存储过程改成视图。比如
视顷御图不能带参数的,你可巧乎李以先孝迟创建视图,在视图里面用where
CREATE VIEW 视图名称
AS
SELECT
NRequestItemno
,[ItemSource]
,[NRequestFormNo]
,[BarCodeFormNo]
,[TollItemNo]
,[formno]
,[ParItemNo]
,(select cname from testitem where itemno=a.paritemno) as itemnamecw
,(select orderno from testitem where itemno=a.paritemno) as orderno
FROM dbo.NRequestItem
select * from 视图名称
where nrequestformno=@nrequestformno
❺ sql server 中 一个要输入参数和输出参数的存储过程。
1、首先我们需要打开SQL Server Managment管理工具,新建一个表。
❻ 怎样在SQLServer中正确使用参数报表
一、带报表参数的典型应用。
在一个报表中加入参数,最直接的结果就是可以提高查询语句的重复利用性。如用户可以通过更改参数来调整显示的结果等等。对于这些常规的应用笔者不做过多的阐述。笔者现在要说的是,带参数报表的一些高级应用。
参数报表比较高级的应用就是实现报表钻取。钻取是改变维的层次,变换分析的粒度。它包括向上钻取和向下钻取。向上钻取是在某一维上将低层次的细节数据概括到高层次的汇总数据,或者减少维数;向下钻取是指自动生成汇总行的分析方法。简单的说,现在数据库中有一张销售订单表。根据这张表可以生成一张各个月份的销售统计表。但是,有可能用户在查看这张报表的时候,对某个月份的统计结果有怀疑,为此需要查看这个月份的销售明细。此时如果利用带参数的报表实现钻取功能的话,那么就不需要重新查询或者生成报表。而只需要直接在这张报表上点击月份,系统就会自动打开另外一张报表。这张报表中的内容就是这月份的销售明细。从技术的角度讲,就是通过参数的传递,将这张报表的时间信息作为另一张报表的查询参数。从而让系统自动根据这个参数来生成相应的数据,从而简化用户的操作。
二、带参数报表要避免注入式攻击。
在使用参数报表的时候,特别需要注意一点就是防止注入式攻击。注入式攻击各位读者或许都了解。可是对于为什么使用参数的报表容易引起注入式攻击,可能大家并不怎么了解。这主要是因为参数如果采用的是string数据类型所造成的。即如果参数采用的是string数据类型,那么就表示用户可以根据需要输入任何类型的字符串。此时如果用户输入了一些注入式攻击的代码当作参数,则就可能会导致注入式攻击。为此如果生成报表时,采用的参数时String数据类型的,就需要特别的注意。为了防止这个注入式攻击,笔者建议如果采用的参数一定要是String数据类型的话,那么最好能够遵循下面的规则。DB2数据库与SQLServer数据库的异同
首先,在客户端将报表查询语句传递给数据库之前,即将参数复制给Select语句之前,最好进行验证。即要验证输入的参数值中,是否存在一些特殊的符号。这些符号往往跟输入攻击有关。如果存在这些特殊字符的话,则需要向用户提供警告信息,表明存在注入式攻击的可能性。并且,系统可以拒绝接受这个参数。这个避免注入式攻击的方法比较消极。如果这些特殊符号确实是查询参数中包含的内容,那么也无法使用。
其次,可以通过值列表的方式来向数据库传递参数。在没有提供值列表的情况下,如果参数是字符类型的,则系统向用户显示的是一个可以使用任何值的文本框。此时数据库管理员可以使用可用值列表的方式来规范化参数的输入,限制其输入一些特殊的字符。也就是说,在定义String类型的参数报表时,让系统向用户显示一个下拉的列表框,然后用户通过选择来指定参数。这个操作就跟Excel表格中的下拉列框差不多,用户只能够选择数据库管理员所提供的值,或者说只能够选择某张表中存在的值。由于用户不能够自己输入值,而只能够选择,这就可以有效的避免注入式攻击。不过采用这种方式有一个缺陷,就是如果有效的值太多的话,这个列表就会很长。为此用户在选择参数的时候,就会很麻烦。如当有效值有500个的话,那么就需要在500个值中选择一个值,显然这有点困难。即使按照参数的名字顺序来排列,选择也是比较麻烦的。大内存SQLServer数据库的加速剂
第三,可以利用列表查询的方式,来避免注入式攻击。即当用户输入一个参数之后,系统会自动从一个列表中查询是否存在这个值。如果存在的话,则将这个参数赋值给查询语句中的变量。如果不存在的话则提醒用户参数可能输入错误。如现在有一张销售订单明细报表。用户可能需要根据订单号码来查询销售订单明细。此时这个订单号码就是一个字符型的参数。当用户输入这个参数的时候,并不是马上传递给数据库,这么做太危险,容易产生注入式攻击。而是前台应用程序也从后台数据库中取得所有的销售订单的订单号码信息。当用户输入参数之后,前台应用程序会把这个用户输入的参数跟自己查询出来的信息先进行对比。如果有匹配的信息,就将这个参数传递给后台数据库。如果没有的话,就向用户报告错误的信息。有些应用程序在设计的时候,还会更进一步。如客户端程序会先从数据库中取得订单号码与对应的订单ID。当用户输入参数之后,会进行比对。如果比对成功的话,那么客户端应用程序会将这个订单号码对应的订单ID作为参数传递给查询语句。也就是说,从数据库服务器角度来讲,真正的参数是订单ID(整数型数据类型)而不是订单号码(字符串数据类型)。通过这个数据类型转换,从而可以从根本上防止注入式的攻击。
以上三种方式都可以很有效的避免注入式攻击。数据库管理员需要根据实际应用来选择合适的解决方案。如当有效值比较少的时候,如按年份来统计销售订单时,则可以使用列表的形式。当有效值比较多,特别是这个有效值会自动增长的时候,则可以使用列表查询的方式。总之一个基本的原则,对于String参数,一定要进行验证其合法性。否则的话,很容易造成注入式攻击。
三、对于日期型的数据给与特殊的照顾。
日期型的数据是数据库中最容易出现问题的一个数据类型。因为不同语言环境下,如英语与汉语环境下,其采用的日期格式是不同的。如果数据库中定义了某个日期格式,而输入的参数如果不符合这个格式的话,则系统就会认为这条记录不存在,从而在报表中查询不到相关的数据。为此如果在报表中要使用日期型数据参数的话,将会是一件比较麻烦的事情。所以,在应用程序设计时,数据库管理员最好提醒前台应用程序的设计者,能够规范化日期的格式。如可以要求他们,对于日期型的数据作为参数时,用户不能够手工输入日期。因为不同的用户输入习惯不同,如有些人会按年月日的格式输入(有些用户会把8月份写成08,而有些直接写成8),有些人则会按月、日、年的格式进行输入。由于格式不统一,那么数据库就很难按照同一个规则进行转换。为此,对于日期型的数据作为参数时,最好在前台应用程序中能够规范化输入的格式。如以一个统计的格式输入。要做到这一点的话,就可以通过一个日期型的控件来完成。即用户不能够手工输入日期型的数据。当遇到某个参数时日期型的数据时,当鼠标定位到这个文本框,则系统就会弹出一个类似日历的界面。用户只有通过选择日期来输入日期型的数据,从而规范化用户的输入。另外也可以通过掩码的方式来规范用户输入的格式。即预先规定年月日的输入掩码。用户在输入的时候必须按照这个格式,否则的话,系统不会接受用户的输入。这两种方式都可以实现对日期数据的规范化。
当用户按照同一个格式输入日期数据后,以后的工作就容易处理了。在将参数传递给数据库的时候,可以在查询语句中加入一个日期型数据的强制转换语句。将输入的日期型数据按照系统表中定义的日期型数据进行转换。即如果前台客户端输入的日期型数据格式是日、月、年(只要输入的内容统一即可,没有具体的要求),然后在查询语句中就可以通过数据类型转换工具对数据类型进行转换。如将日、月、年表示的字符型数据类型表示会年、月、日的日期型数据类型。如此的话,就可以保证用户输入的参数是数据库可以识别的。就可以避免因为日期格式不一致或者数据类型不一致而导致报表不能够抓取记录。
❼ sql语句加参数
你需要了解sql语句的拼接和一般字符串的拼接的异同.
例如:在sql脚本语句中,字符串用单引号'',这些在C#语句中拼接"sql语句"字符串时需要注意.
你可以在vs.net中写一个用字符串拼接的sql语句,最后把它赋值给一个字符串对象.然后用断点调试区查看生成的sql语句的结果,一般sql语句较长,验证的方式都是把这段sql语句到sql sever的脚本文件(.sql)中去执行一下,就知道是否正确了.当然也有先在sql server 中调试好拼接字符串后再到程序代码中去修改的.具体方式不定.
(以上是介绍的拼接sql语句方法,不过这种方式的安全性不高,常见的sql注入式攻击就是利用的拼接sql语句的缺陷.)
你还可以考虑使用带参数的存储过程来实现,这个就需要了解存储过程的一些知识了,具体的方法我就不介绍了,关于带参数的存储过程,网上有很多例子参考.
❽ 求助,FineReport使用SQL数据集参数
大致的步骤就是先取出所有数据,再进行过滤,取数,过滤。
简单旦判应用:SELECT * FROM 销量 where 地区 = '${地区}'
带公式的应用:SELECT * FROM 订单 where 1=1 ${if(len(area) == 0,"","and 货主地区 = '" + area + "'")} ${if(len(province) == 0,"","and 货主省份 = '" + province + "'")}
具体步骤如下:
1、打开报表敬迟毕
2、定义亮芹数据源参数
修改数据集sql语句为:SELECT * FROM 销量 where 地区 = '${地区}',点击下方的刷新按钮显示出参数,默认值设置为“华北”
3、过滤数据
若参数地区的值为华北,那么${地区}这个参数宏最终的值就是华北,数据集sql即为:SELECT * FROM 销量 where 地区 = '华北'
4、制作参数界面
5、保存报表并发布
❾ 如何筛选SQL字符串字段中部分值
一、先说筛选字符串字段中部分值的记录。
例如我有一个KKBH(卡口编号)字段,这是一个字典字段(对应另一个实体表(卡口表)的编号字段)。这个字段的值保存所属卡口值域{01,02,03}
本来想到的是通过or来实现,这样需要动态生成SQL语句。
后来想到一个办法用charindex搜索字符串的办法。将所有的要查的卡口编号组成类似'01@02'这样待查字符串。sql查询时通过charindex筛选出在待查字符串里有的KKBH的记录。
经测试使用or与使用charindex,两者在MSSQL中执行效率差不多。
具体实现:
用户界面查询需求:可能搜索N个卡口的记录(N的值域{1,所有卡口个数})。设计这个UI的形式一共三种:
一、一个多选listbox。用户界面运行时将卡口字典表载入listbox信息。
二、两个listbox,左边为待选,右边为已选,中间加两个按钮添加与删除。用户界面运行时将卡都字典表载入左边的listbox。
三、多个Checkbox。可以在界面设计阶段直接做死字典表,即有几个卡口就话几个checkbox。或者在程序运行根据字典表绘制动态绘制checkbox。
UI的优缺点这里不讨论,我这里选择第三种方式的动态绘制。
在查询阶段根据所选卡口生成待选字符串入:"01@02”
并将此条件传回后台查询服务程序
后台查询服务里只要待查字符串作为参数传入查询的SQL语句中(sql片段): charindex(卡口编号,@待查字符串)。当然也可以手动生成SQL方式传入"charindex(卡口编号,'"+待查字符串+"')".
二、模糊查询。
使用like的模糊查询发生效率是很低。
提高的解决办法与:
一、用full text index 结合contains函数。全文本索引,带了空间占用率很高。
二、通过charindex+substring实现简易模糊查询。使用substring分段,charindex实现类似like '%关键字%'。
❿ 怎样手动创建自定义SQL的数据窗口需要带检索参数解决方法
我的步骤如下
1,定义一个SQL(q_1),更改这个SQL(右键-编辑源)保存,然后初始化的定义都没有了
2,新建与这个SQL相关的数据窗口就可以了问题:
1,更改的SQL不能带参数,如SELECT ID from st.STU where ID < :li_id
--保存出错
--无法建立与之对应的数据窗口
希望大家看看呀
------解决方案-------------------------------------------------------- 1、你所说的SQL(q_1)是指Query吧?如果是的话,你要改为带参数,可右键->编辑,
然后通过菜单“design->retrieval arguments”来定义检索参数。
2、通过Query建立的数据窗口与这个query文件无关,即使你把它删掉,数据窗口照样能使用。
------解决方案-------------------------------------------------------- 看得不是太明白!
创建sql select 的DW,不选择表!菜单 design ->convert to syntax
你就可以直接 写SQL
参数是就像ls那样定义!