实现此目的的最简单方法之一:
SELECt * FROM table WHERe ((@status_id is null) or (status_id = @status_id))and ((@date is null) or ([date] = @date))and ((@other_parameter is null) or (other_parameter = @other_parameter))
等等。这完全消除了动态sql,并允许您搜索一个或多个字段。通过消除动态sql,您消除了有关sql注入的另一个安全问题。
