我正在研究将要查询我们员工数据库的工作申请.最终用户希望能够根据标准名称/部门标准进行搜索,但他们也希望能够灵活地查询所有在健康部门工作的名字为"James"的人.我想要避免的一件事是简单地让存储过程获取参数列表并生成要执行的SQL语句,因为这将在内部级别打开SQL注入的大门.
可以这样做吗?
sql sql-server parameters search stored-procedures
parameters ×1
search ×1
sql ×1
sql-server ×1
stored-procedures ×1