MySQL запрос справки (как заявление)

Question

Я использую mysql, у меня есть хранимая процедура, которая имеет входную переменную.

Я хочу использовать эту переменную в операторе select (с предложением like).

Например:

DELIMITER $$

DROP PROCEDURE IF EXISTS `DeleteDataByTransactionID` $$
CREATE DEFINER=`root`@`%` PROCEDURE `DeleteDataByTransactionID`(in **$TransactionID** varchar(50))

BEGIN

delete from sqlstatements where tempsql like '%'+ **$TransactionID** + '%';

END $$


DELIMITER ;

Спасибо

Answer 1

DELIMITER $$
DROP PROCEDURE IF EXISTS `DeleteDataByTransactionID`
$$
CREATE DEFINER=`root`@`%` PROCEDURE `DeleteDataByTransactionID`(TransactionID VARCHAR(50))
BEGIN
        DELETE
        FROM    sqlstatements
        WHERE   tempsql LIKE CONCAT('%', TransactionID, '%');
END
$$
DELIMITER ;

Answer 2

На самом деле, версия принятого ответа открыта для внедрения SQL, если вызывающая сторона неправильно параметризовала вызов хранимой процедуры. Я бы порекомендовал использовать подготовленную инструкцию в хранимой процедуре следующим образом для обеспечения безопасности вместо того, чтобы полагаться на вызывающего:

DELIMITER $$
CREATE PROCEDURE `DeleteDataByTransactionID`
(
    TransactionID VARCHAR(50)
)
BEGIN

SET @sql = 
 "DELETE 
  FROM sqlstatements
  WHERE   
     tempsql LIKE CONCAT('%', ?, '%')";

SET @transid  = TransactionID;

PREPARE stmt FROM @sql;
EXECUTE stmt USING @transid;
DEALLOCATE PREPARE stmt;

END
$$