【开发小技巧】在开发过程中使用动态拼接进行sql查询及需要注意的点

在开发过程中，我们经常需要根据不同的条件执行不同的SQL查询。例如，当权限类型为0（非超级管理员权限）时，我们只能查询特定平台的数据；而当权限类型为1（超级管理员权限）时，我们需要查询所有平台的数据。为了实现这个效果，我们可以使用动态拼接进行SQL查询，并根据用户权限进行展示。

具体来说，我们可以编写一个PL/SQL代码块，根据权限类型和平台名称生成一个JSON字符串。首先，我们需要判断权限类型是否为0，如果是，则在查询条件中添加平台名称；否则，不添加任何条件。然后，我们将生成的JSON字符串返回。

以下是一个简单的示例代码：

declare 
sql2 VARCHAR2(100);
json2 VARCHAR2(1000);
begin

IF V('PERMISSION_TYPE') = 0 THEN sql2 := ' and BASE_NAME = '''||V('PLATFORM_NAME')||'''';
-- IF V('PERMISSION_TYPE') = 0 THEN sql2 := ' and BASE_NAME = ''晶澳总部''';
-- IF V('PERMISSION_TYPE') = 0 THEN sql2 := 'and BASE_NAME = :PLATFORM_NAME';
END IF;
json2 := 'select ZJ_OUTPUT_INPUT_ID,
       TENANT_ID,
       REVISION,
       CREATED_BY,
       CREATED_TIME,
       UPDATED_BY,
       UPDATED_TIME,
       BASE_NAME,
       WORKSHOP,
       PRODUCT_TYPE,
       RUKU_MW,
       RUKU_QTY,
       SCRAP_NUMBER,
       CALENDAR_DATE,
       CALENDAR_STR,
       LINE_NUMBER
  from DATA_SHARE_ZJ_OUTPUT_INPUT
  where  is_enable = 0 and TENANT_ID = :USER_TENANT' ||sql2;
return 
json2
;
end; 
 

通过使用动态拼接进行SQL查询，我们可以根据用户权限灵活地构建查询语句，从而实现不同条件下的数据展示。

超级管理员权限效果（可以全查平台）：

非超级管理员权限效果（仅可查询当前平台）：

需要注意的点：

但是要注意sql2的and前要打空格，否则拼接后会变成
where is_enable = 0 and TENANT_ID = :USER_TENANTand xxx 会报错

扩展：

Oracle Apex PL/SQL动态拼接的注意点：

1. 拼接的基本规范：

   • 所有通过 || 连接的对象都应是 VARCHAR2 类型，数字会自动转换，但 DATE 需要手动使用 TO_CHAR 函数转换。
   • 单引号的使用遵循就近原则，即从第二个单引号开始被视为转义符。
   • 对于每个包含单引号的字符串，都需要写成两个连续的单引号来进行转义。

2. 处理特殊字符和字符串：

   • 可以使用 CHR(39) 来转义单引号，避免手动重复书写单引号。
   • 当涉及到 DATE 类型的字段时，需要在 SQL 语句中将字符串转换回 DATE 类型进行比较，这通常需要 TO_DATE 函数。

3. 动态执行SQL语句：

   • 使用 EXECUTE IMMEDIATE 可以动态执行拼接后的 SQL 语句，这使得 SQL 更加灵活。
   • 使用 BIND 变量可以提高 SQL 的性能和安全性，避免 SQL 注入攻击。

4. 错误处理与调试：

   • 在拼接 SQL 的过程中，应该加入异常处理机制，以便于捕获和处理可能出现的错误。
   • 可以利用 DBMS_OUTPUT 或 HTP.P 打印中间结果，帮助调试和验证 SQL 语句的正确性。

5. 代码的可读性和维护性：

   • 尽管动态 SQL 提供了灵活性，但过于复杂的拼接逻辑可能会降低代码的可读性和维护性。
   • 应尽量简化 SQL 语句的动态部分，必要时重构代码以提高清晰度。

Oracle Apex中使用PL/SQL进行动态拼接的技巧：

1. 利用绑定变量提高性能和安全性：

   • 绑定变量可以避免硬编码的值，提高 SQL 的执行计划的稳定性和性能。
   • 使用 USING 关键字可以将变量值安全地传递给动态 SQL，减少 SQL 注入的风险。

2. 使用APEX_UTIL中的函数：

   • APEX_UTIL 包中包含了许多用于创建区域的实用函数，可以简化区域创建过程。
   • 例如，使用 APEX_UTIL.CREATE_REGION 可以方便地创建新的区域。

3. 处理动态内容和区域：

   • 根据用户输入或其他运行时条件动态生成区域的内容，如根据用户的选择改变报告的内容。
   • 使用 PL/SQL 代码块可以根据需要添加、修改或删除页面项目和区域。

4. 结合使用DBMS_SQL包：

   • 对于复杂的 SELECT 语句，使用 DBMS_SQL 包可以更灵活地处理查询结果。
   • 描述游标中的列信息，循环提取查询结果，并进行处理或展示。

5. 简化和优化 SQL 语句：

   • 尽可能使用参数化查询而不是完全动态化的 SQL，以减少潜在的性能问题和安全风险。
   • 评估是否可以通过静态 SQL 达到相同的目的，从而避免不必要的复杂性。

综上所述，可以看到在Oracle APEX中运用PL/SQL进行动态拼接时需要注意的事项和可以采纳的技巧。理解这些基本点和高级技巧，可以帮助开发者有效地构建出功能强大且安全的数据库应用程序。