ASP.NET - 将多个值从文本框中传递到 Access 数据库选择查询

Question

我正在制作一个 ASP.net Web 应用程序，它允许用户将值粘贴到多行文本框中并按下提交按钮。 单击按钮时，这将根据他们在文本框中输入的产品代码运行数据库查询。

我已经设法让文本框中的一个代码工作。但是，我正在努力做的是在文本框中允许多个产品代码。 如何拆分文本框中的值，以逗号分隔并在我的 ACCESS SQL 查询中使用？

下面的代码是我在文本框中使用的单行代码，效果很好。

string selectString = "SELECT Patt1, Description, Oversize FROM Item WHERE Patt1 = '" + TextBox1.Text + "'";

基本上，我想做的是使用相同类型的查询，但如下所示：

string selectString = "SELECT Patt1, Description, Oversize FROM Item WHERE Patt1 sInStatement";

其中 sInStatement 将是“IN (1234, 1235, 1236, 1237) **此处的代码将在 TextBox1 中找到，我需要用逗号等将其分开。

这个可以吗？

Answer 1

考虑一个存储过程，其参数与您希望能够传递的可选参数一样多。对可选参数使用超出范围的默认值，例如-999.

以下 SQL DDL 需要 ANSI-92 查询模式：

CREATE PROCEDURE GetItemsByPatt1s
( :arg1 INT,
  :arg2 INT = -999,
  :arg3 INT = -999,
  :arg4 INT = -999 ) AS
SELECT Patt1, Description, Oversize
  FROM Item 
 WHERE Patt1 IN ( :arg1, :arg2, :arg3, :arg4 );

Answer 2

可以修改SQL：

string selectString = "SELECT Patt1, Description, Oversize FROM Item WHERE Patt1 IN ("' + string.Join("','", TextBox1.Text.Replace(" ", "").Split(',')) + "')";

如果值是数字：

string selectString = "SELECT Patt1, Description, Oversize FROM Item WHERE Patt1 IN (" + string.Join(",", TextBox1.Text.Split(',')) + ")";

//or simply:

string selectString = "SELECT Patt1, Description, Oversize FROM Item WHERE Patt1 IN (" + TextBox1.Text + ")";

Answer 3

可以，但将用户输入直接传递到 SQL 查询中是个坏主意。

阅读SQL injection

最好使用参数。