在SQL Server中正确使用参数报表

核心提示：对于任何数据库来说，报表应用是其不可缺少的一部分，在SQL Server中正确使用参数报表，在SQLServer数据库中，提供了一个帮助管理员设计、创建、管理报表的工具，为了防止这个注入式攻击，笔者建议如果采用的参数一定要是String数据类型的话，即报表服务器，通过这个报表服务器可以让报表的创建更加的简单

对于任何数据库来说，报表应用是其不可缺少的一部分。在SQLServer数据库中，提供了一个帮助管理员设计、创建、管理报表的工具，即报表服务器。通过这个报表服务器可以让报表的创建更加的简单，安全更加有保证。不过这个报表工具能否发挥其应有的作用，最好还是要看报表工具的使用者，是否掌握了相关的使用技巧。笔者这次要跟各位读者讨论的就是，在SQLServer数据库如何正确使用带参数的报表。

一、带报表参数的典型应用。

在一个报表中加入参数，最直接的结果就是可以提高查询语句的重复利用性。如用户可以通过更改参数来调整显示的结果等等。对于这些常规的应用笔者不做过多的阐述。笔者现在要说的是，带参数报表的一些高级应用。

参数报表比较高级的应用就是实现报表钻取。钻取是改变维的层次，变换分析的粒度。它包括向上钻取和向下钻取。向上钻取是在某一维上将低层次的细节数据概括到高层次的汇总数据，或者减少维数；向下钻取是指自动生成汇总行的分析方法。简单的说，现在数据库中有一张销售订单表。根据这张表可以生成一张各个月份的销售统计表。但是，有可能用户在查看这张报表的时候，对某个月份的统计结果有怀疑，为此需要查看这个月份的销售明细。此时如果利用带参数的报表实现钻取功能的话，那么就不需要重新查询或者生成报表。而只需要直接在这张报表上点击月份，系统就会自动打开另外一张报表。这张报表中的内容就是这月份的销售明细。从技术的角度讲，就是通过参数的传递，将这张报表的时间信息作为另一张报表的查询参数。从而让系统自动根据这个参数来生成相应的数据，从而简化用户的操作。

二、带参数报表要避免注入式攻击。

在使用参数报表的时候，特别需要注意一点就是防止注入式攻击。注入式攻击各位读者或许都了解。可是对于为什么使用参数的报表容易引起注入式攻击，可能大家并不怎么了解。这主要是因为参数如果采用的是string数据类型所造成的。即如果参数采用的是string数据类型，那么就表示用户可以根据需要输入任何类型的字符串。此时如果用户输入了一些注入式攻击的代码当作参数，则就可能会导致注入式攻击。为此如果生成报表时，采用的参数时String数据类型的，就需要特别的注意。为了防止这个注入式攻击，笔者建议如果采用的参数一定要是String数据类型的话，那么最好能够遵循下面的规则。DB2数据库与SQLServer数据库的异同