C# SQL 参数查询与 [重复]

Question

可能重复：
Parameterizing a SQL IN clause?

我有以下代码：

var myCommand = new SqlCommand();
myCommand.Parameters.Add("@username", SqlDbType.NVarChar);
myCommand.Parameters["@username"].Value = username;
return _dbConnection.ExecuteQuery("Select * from customer where username = @username");

现在我需要调整查询以获得更多值。我想做这样的事情：

var myCommand = new SqlCommand();
foreach (string username in usernames){
  myCommand.Parameters.Add("@username", SqlDbType.NVarChar);
  myCommand.Parameters["@username"].Value = username;
}
return _dbConnection.ExecuteQuery("Select * from customer where username in @username");

这可能吗？怎么样？

谢谢！

BR斯特凡

Answer 1

我喜欢用两种方法来做这样的事情。

public void ReadDatabase(string[] values)
{
    foreach (var value in values)
    {
        using (var rd = GetData(value))
        {
            if (!rd.Read())
                throw new OMGException("FAILED!");

            Console.WriteLine(rd["UserId"].ToString());
        }
    }
}

public IDataReader GetData(string value)
{
    using(var cm = _connectionWhatever.CreateCommand())
    {
        cm.CommandText = @"
            Select UserId
            From MyTable
            Where UserName = @User
        ";
        cm.CommandType = CommandType.Text;
        cm.Parameters.AddWithValue("User", value);
        return cm.ExecuteReader();
    }
}

这只是给你一些想法。希望这会有所帮助。

Answer 2

把代码改成这个

    var myCommand = new SqlCommand();
    int i = 0;
    string param = string.Empty;

    foreach (string username in usernames)
    {
        string paramName = string.Format("@username{0}", i);
        myCommand.Parameters.Add(paramName, SqlDbType.NVarChar);
        myCommand.Parameters[paramName].Value = username;
        param += string.Format("  (username={0}) or", paramName);

        i++;
    }
    param = param.Substring(0, param.Length - 2);
    return _dbConnection.ExecuteQuery("Select * from customer where " + param);

Answer 3

好吧，如果你真的愿意，你可以完全通过字符串操作来做到这一点。

string sql = "Select * from customer where username in (";

string comma = "";
foreach(string s in usernames)
{
   sql += comma + "'" + CleanSqlParameter(s) + "'";
   comma = ", ";
}

return _dbConnection.ExecuteQuery(sql);

这会很混乱！但是，如果您觉得您需要完全在 C# 中构建查询，这里有一种方法可以做到。我用这种方法取得了成功。

Answer 4

每个参数都必须是唯一的：

var paramNames = new List<string>();
var myCommand = new SqlCommand();
foreach (string username in usernames){
  var paramName = "@user" + paramNames.Count;
  myCommand.Parameters.Add(paramName, SqlDbType.NVarChar);
  myCommand.Parameters[paramName].Value = username;
  paramNames.Add(paramName);
}
return _dbConnection.ExecuteQuery("Select * from customer where username in (" + string.Join(",", paramNames) + ")");

你会得到这样的sql：

SELECT * from customer where username in (@user0, @user1, @user2)

从查询计划缓存的角度来看，它没有多大帮助，但您将获得不易受到 sql 注入攻击的好处。

Answer 5

您不能完全按照您对循环的想法进行操作，因为您将多次使用不同的值添加相同的参数，但这可能会有所帮助：

http://support.microsoft.com/kb/555266（在 VB 中，但您可能可以找到 c# 示例或翻译）

我自己解决这个问题的方法是把它变成一个存储过程作为它的好习惯（好处，比如增加安全性、效率、代码重用等），然后让你的过程接受 XML 的参数。在您的 C# 应用程序中，将 Usernames 集合转换为 XML，然后将其传递给 SP。

Answer 6

这可以通过将 XML 数据类型传递给 Query 并在其中进行搜索来完成。

declare @x xml
set @x = '<IDs><ID>1</ID><ID>2</ID></IDs>'

SELECT ID.value('.', 'int') AS ID
FROM @x.nodes('/IDs/ID') as IDS(ID)

所以在这种情况下你可以这样做：

var myCommand = new SqlCommand();
myCommand.Parameters.Add("@usernames", SqlDbType.Xml);
string usernames = "<Usernames>"
foreach (string username in usernames){
   usernames+= String.Format("<username>{0}</username>", username);
}
usernames += "</Usernames>"
myCommand.Parameters["@usernames"].Value = usernames;
return _dbConnection.ExecuteQuery("Select * from customer where username in (SELECT
    username.value('.', 'nvarchar') AS Username
    FROM @x.nodes('/Usernames/Username') as Usernames(Username))");

但是，语法可能需要检查