目标平台是.Net与sql 2005,2008后端,但我认为这是非常普遍的问题.

例如,我们有客户表,我们希望为UI提供不同参数的搜索功能,例如客户类型,客户状态,客户邮编等,所有这些都是可选的,可以任意组合进行选择.换句话说,用户可以仅按customerType或按customerType,customerZIp或任何其他可能的组合进行搜索.
有几种可用的设计方法,但它们都有一些缺点,我想问一下它们中是否有一个首选设计,或者是否有另一种方法.

>根据来自UI的搜索请求,在业务层中动态生成sql where子句sql语句,并将其作为参数传递给存储过程.像@Where =’,其中CustomerZip = 111111′
在存储过程内部生成动态sql语句并使用sp_executesql执行它.
缺点：动态sql,sql注入
>实现具有多个输入参数的存储过程,表示来自UI的搜索字段,并使用以下构造仅为where语句中的请求字段选择记录.

哪里

(CustomerType = @CustomerType OR @CustomerType is null )

AND      (CustomerZip = @CustomerZip OR @CustomerZip is null )

AND   …………………………………………

缺点：sql可能存在性能问题.

3.为每个搜索参数组合实现单独的存储过程.
缺点：随着搜索参数的增加,重复的代码,存储过程的数量会迅速增加.