c# sql where in 参数化传值

最新推荐文章于 2023-11-30 08:46:22 发布
最新推荐文章于 2023-11-30 08:46:22 发布
阅读量4.3k 收藏 8
点赞数 2
分类专栏: c# # asp.net mvc # c# WinForm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cplvfx/article/details/109532385
版权
c# 同时被 3 个专栏收录
125 篇文章 13 订阅
订阅专栏
asp.net mvc
90 篇文章 7 订阅
订阅专栏
c# WinForm
27 篇文章 2 订阅
订阅专栏

第一种:传统Sql的Where IN()值拼接

不推荐,有sql注入风险

 //传统Sql的Where IN()值拼装
 string str = "1,2,3"; 
 StringBuilder sql = new StringBuilder();
 sql.Append("select * from user where userId in(");
 sql.Append(str);
 sql.Append(")");
 string sqlStr = sql.ToString();
 Console.WriteLine(sqlStr);

结果

select * from user where userId in(1,2,3)

第二种:Sql的Where IN()参数化传值

可以有效防止sql注入

公用变量

string strArray = "1,2,3";
string sql = "select * from user where userId in";

sqlParameters有值传递

DbParameter[] sqlParameters1 = {
                new SqlParameter("@UserID1", SqlDbType.Int) { Value = 1},
                new SqlParameter("@UserID2", SqlDbType.Int) { Value = 2},
                new SqlParameter("@UserID3", SqlDbType.Int) { Value = 3},
                new SqlParameter("@UserID4", SqlDbType.Int) { Value = 4}
                }; 
string sqlWhereInValue1 = "";
DbParameter[] dbParameters1 = WhereInFactory(sqlParameters1, strArray, out sqlWhereInValue1);
string sql1 = sql + sqlWhereInValue1;

结果

select * from user where userId in(@sqlWhereInValue0,@sqlWhereInValue1,@sqlWhereInValue2)

 

sqlParameters为空传递

 string sqlWhereInValue2 = "";
 DbParameter[] sqlParameters2 = { };
 DbParameter[] dbParameters2 = WhereInFactory(sqlParameters2, strArray, out sqlWhereInValue2);
 string sql2 = sql + sqlWhereInValue2;

结果

select * from user where userId in(@sqlWhereInValue0,@sqlWhereInValue1,@sqlWhereInValue2)

 

Sql的Where IN()的拼接工厂 

        /// <summary>
        ///  Sql的Where IN()的拼接工厂
        /// </summary>
        /// <param name="parameter">parameter数组</param>
        /// <param name="IdArray">ID数组 如:1,2,3</param>
        /// <param name="sqlWhereInValue">接收生成的sql字符串变量</param>
        private static DbParameter[] WhereInFactory(DbParameter[] parameter, string IdArray, out string sqlWhereInValue)
        {

            string[] strArray = IdArray.Split(',');
            int p_length = parameter.Count();
            int s_length = strArray.Count();
            int length = p_length + s_length;
            DbParameter[] dbParameters = new DbParameter[length];
            StringBuilder sqlWhereIn = new StringBuilder();

            int j = 0;
            for (int i = 0; i < length; i++)
            {

                if (i < p_length)
                {
                    dbParameters[i] = parameter[i];
                }
                else
                {
                    string dot = i + 1 != length ? ",":"";
                    sqlWhereIn.Append("@sqlWhereInValue" + j+ dot);
                    dbParameters[i] = new SqlParameter("@sqlWhereInValue" + j, Convert.ToInt32(strArray[j]));
                    j++;
                }
            }
            sqlWhereInValue = $"({sqlWhereIn.ToString()})";
            return dbParameters;
        }

完整代码

 using System;
using System.Collections.Generic;
using System.Data;
using System.Data.Common;
using System.Data.SqlClient;
using System.Linq;
using System.Text;
using System.Threading.Tasks;

namespace test1
{
    /// <summary>
    /// Sql的Where IN()Test
    /// </summary>
    public class SqlWhereInTest
    {
        /// <summary>
        /// 执行
        /// </summary>
        public static void Exe()
        {
            //数组长度测试
            DbParameter[] sqlParameters6 = new DbParameter[6];
            DbParameter[] sqlParameters10 = new DbParameter[10];
            sqlParameters6 = sqlParameters10;

            {
                //传统Sql的Where IN()值拼装
                string str = "1,2,3"; 
                StringBuilder sql = new StringBuilder();
                sql.Append("select * from user where userId in(");
                sql.Append(str);
                sql.Append(")");
                string sqlStr = sql.ToString();
                Console.WriteLine(sqlStr);
            }

            {
                //Sql的Where IN()参数化值拼装 
                string strArray = "1,2,3";
                string sql = "select * from user where userId in";

                //sqlParameters有值传递
                DbParameter[] sqlParameters1 = {
                new SqlParameter("@UserID1", SqlDbType.Int) { Value = 1},
                new SqlParameter("@UserID2", SqlDbType.Int) { Value = 2},
                new SqlParameter("@UserID3", SqlDbType.Int) { Value = 3},
                new SqlParameter("@UserID4", SqlDbType.Int) { Value = 4}
                }; 
                string sqlWhereInValue1 = "";
                DbParameter[] dbParameters1 = WhereInFactory(sqlParameters1, strArray, out sqlWhereInValue1);
                string sql1 = sql + sqlWhereInValue1;

                //sqlParameters为空传递
                string sqlWhereInValue2 = "";
                DbParameter[] sqlParameters2 = { };
                DbParameter[] dbParameters2 = WhereInFactory(sqlParameters2, strArray, out sqlWhereInValue2);
                string sql2 = sql + sqlWhereInValue2;

                Console.WriteLine(strArray);
            }

          

        }

        /// <summary>
        ///  Sql的Where IN()的拼接工厂
        /// </summary>
        /// <param name="parameter">parameter数组</param>
        /// <param name="IdArray">ID数组 如:1,2,3</param>
        /// <param name="sqlWhereInValue">接收生成的sql字符串变量</param>
        private static DbParameter[] WhereInFactory(DbParameter[] parameter, string IdArray, out string sqlWhereInValue)
        {

            string[] strArray = IdArray.Split(',');
            int p_length = parameter.Count();
            int s_length = strArray.Count();
            int length = p_length + s_length;
            DbParameter[] dbParameters = new DbParameter[length];
            StringBuilder sqlWhereIn = new StringBuilder();

            int j = 0;
            for (int i = 0; i < length; i++)
            {

                if (i < p_length)
                {
                    dbParameters[i] = parameter[i];
                }
                else
                {
                    string dot = i + 1 != length ? ",":"";
                    sqlWhereIn.Append("@sqlWhereInValue" + j+ dot);
                    dbParameters[i] = new SqlParameter("@sqlWhereInValue" + j, Convert.ToInt32(strArray[j]));
                    j++;
                }
            }
            sqlWhereInValue = $"({sqlWhereIn.ToString()})";
            return dbParameters;
        }
    }
}

 

橙-极纪元JJY.Cheng
关注
专栏目录
SqlServer参数化查询之where in和like实现详解
12-15
身为一名小小的程序猿,在日常开发中不可以避免的要和where in和like打交道,在大多数情况下我们传的参数不多简单做下单引号、敏感字符转义之后就直接拼进了SQL,执行查询,搞定。若有一天你不可避免的需要提高SQL的查询性能,需要一次性where in 几百、上千、甚至上万条数据时,参数化查询将是必然进行的选择。然而如何实现where in和like的参数化查询,是个让不少人头疼的问题。 where in 的参数化查询实现 首先说一下我们常用的办法,直接拼SQL实现,一般情况下都能满足需要 代码如下: string userIds = “1,2,3,4”; using (SqlConnec
SqlServer:使用IN()子句C#进行参数化查询
04-07
使用参数化查询在SQL中为IN()运算符发送参数的实用工具类
Sql Server参数化查询之where in和like实现详解(转载综合)
05-16 193
Sql Server参数化查询之where in和like实现详解http://www.cnblogs.com/lzrabbit/archive/2012/04/22/2465313.html文章导读拼SQL实现where in查询使用CHARINDEX或like实现where in 参数化使用exec动态执行SQl实现where in 参数化为每一个参数生成一个参数实现where ...
C# sql 查询条件 like 和 in 参数化写法
最新发布
博客
11-30 616
C# sql 查询条件 like 和 in 参数化写法
C#Sql Server 设置IN查询方法内的参数,固定参数、动态参数以及通过分隔含有逗号隔开的字符串转数据集
小5聊的博客
07-08 6293
在平时使用sql语句查询时,in查询肯定少不了,多数用于一些数据统计或者测试类。in查询并不建议放到实际常用的查询列表里。 此篇文章主要简单聊聊,in查询方法内的参数设置方式,以及通过分隔函数将含有逗号隔开的字符串转为数据集进行查询
sql语句 in参数化
chun521的专栏
04-25 2377
   /**   * 描述:findBySQL4IN   * @param sql 格式如:select id,name from table where id in (:keyName)  * @param paramsList  * @return  * @throws Exception  * @CreateOn 2017-4-1  上午10:11:34  * @author chun_...
SQL中in参数化的用法
05-06
C# 中执行 SQL 语句时,我们可以使用参数化查询来实现 where in 和 like 的参数化查询。如: ```csharp using (SqlConnection conn = new SqlConnection(connectionString)) { conn.Open(); SqlCommand comm =...
Sql Server参数化查询之where in和like实现详解
05-31
Sql Server参数化查询之where in和like实现详解 在Sql Server中,参数化查询是提高查询性能和防止SQL注入攻击的有效方法之一。其中,where in和like是两个常用的查询条件,然而它们的参数化实现却不是那么简单。...
C#实现String字符串转化为SQL语句中的In后接的参数详解
08-25
需要注意的是,这个函数没有处理SQL注入的问题,实际应用中应使用参数化查询或者存储过程来避免SQL注入攻击。此外,此函数假设输入的字符串都是有效的值,没有进行额外的验证,如果用户输入的数据可能存在异常情况,...
C# Sql参数化 in like
weixin_30273501的博客
06-03 329
【in】 string sql = "exec('select * from bid where id in ('+@IDS+')')"; System.Data.SqlClient.SqlParameter[] sp = new System.Data.SqlClient.SqlParameter[] { ...
WHERE语句中BETWEEN与IN的使用教程-MySQL
热门推荐
php菜鸟技术天地
09-19 1万+
MySQL BETWEEN 用法 MySQL BETWEEN 语法 BETWEEN 运算符用于 WHERE 表达式中,选取介于两个值之间的数据范围。BETWEEN 同 AND 一起搭配使用,语法如下: WHERE column BETWEEN value1 AND value2 WHERE column NOT BETWEEN value1 AND value2 通常 val
c# =----where 的用法
weixin_39479180的博客
07-28 800
using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Tasks; namespace ConsoleApp4 { class Program { static void Main(string[] a...
SqlServer:带IN()子句C#的参数化查询
寒冰屋的专栏
02-19 8110
目录 介绍 IN()子句帮助类 SQL查询构建 具有实体框架的参数化查询 使用SqlCommand进行参数化查询 数据 数据库,表和数据行 Db连接字符串 其他数据库 一个实用程序类,使用参数化查询在SQL中为IN()运算符发送参数 下载VS2017控制台解决方案 - 7.2 KB 介绍 使用参数化查询很简单: 使用参数创建SqlCommand命令string。 声明一...
C# 拼接sql where in 语句
weixin_34402090的博客
11-30 1749
2019独角兽企业重金招聘Python工程师标准>>> ...
SQL Server参数化SQL语句中的like和in查询的语法(C#)
weixin_30697239的博客
06-24 273
SQL Server参数化SQL语句中的like和in查询的语法(C#) 原文:SQL Server参数化SQL语句中的like和in查询的语法(C#)sql语句进行 like和in 参数化,按照正常的方式是无法实现的 我们一般的思维是: Like参数化查询:string sqlstmt = "select * from users whe...
C# asp.net 中sql like in 参数化
编程技术文档
01-27 7054
<br />在写项目的时候遇到一个问题,sql 语句进行 like in 参数化,按照正常的方式是无法实现的<br />我们一般的思维是:<br />Like 参数:<br />string strSql = "select * from Person.Address where City like '%@add%'";<br />SqlParameter[] Parameters=new SqlParameter[1];<br />Parameters[0] = new SqlParameter("@ad
SQL的in的参数化查询
weixin_34268610的博客
09-29 267
SqlCommand cmd=con.CreateCommand(); cmd.CommandText="exec('select * from novel where novelid in ('+@s+')')"; cmd.Parameters.Add("@s","'13030,12581'"); 转载于:https://www.cnblogs.com/dc-lancer/p/...
where in的用法 SQL 数据查询
12-19 453
where in的用法 SQL 数据查询 使用   IN   的子查询     通过   IN(或   NOT   IN)引入的子查询结果是一列零值或更多值。子查询返回结果之后,外部查询将利用这些结果。         下列查询会找到所有曾出版过商业书籍的出版商的名称。         USE   pubs     SELECT   pub_name     FROM   pu
sql语句where条件in_SQL语法基础——条件过滤WHERE 语句
weixin_33745006的博客
01-25 3438
WHERE 子句用筛选满足某些条件的数据。SQL WHERE 语法按照某种条件地从表中选取数据,可将 WHERE 子句添加到 SELECT 语句中。可用于WHERE字句的运算符,大致如下:演示数据库WHERE 实例现在,我们希望从Students_hobby_t表中获取Age字段值大于15的学生数据:输出结果为:多个WHERE 子句逻辑运算实例And(与关系):同时满足两个条件的值。我们希望从St...
SQL Server参数化查询:WHERE IN与LIKE实现策略
"这篇文档详细介绍了在Sql Server中如何实现参数化查询,特别是针对`WHERE IN`和`LIKE`操作的实现方式。" 在SQL Server中,参数化查询是提高性能和防止SQL注入的重要手段。当涉及到大量数据的`WHERE IN`子句或者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

橙-极纪元JJY.Cheng

客官,1分钱也是爱,给个赏钱吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值