多条件查询,动态添加SqlParameter参数,动态添加where条件

最新推荐文章于 2023-01-09 10:48:48 发布
最新推荐文章于 2023-01-09 10:48:48 发布
阅读量4.3k 收藏
点赞数
分类专栏: WebForm(.Net)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhsimon/article/details/9838671
版权 
List<SqlParameter> ilist = new List<SqlParameter>(); 
            ilist.Add(new SqlParameter("@Param1", "1"));
            ilist.Add(new SqlParameter("@Param2", "2"));
            ilist.Add(new SqlParameter("@Param3", "3"));
            ilist.Add(new SqlParameter("@Param4", "4"));
            ilist.Add(new SqlParameter("@ParamLike","%5%"));//Like的写法
            SqlParameter[] param = ilist.ToArray();

 List<string> listWhere = new List<string>();
            List<SqlParameter> listParameters = new List<SqlParameter>();
            if (cbName.Checked)
            {
                listWhere.Add("Name like @name");
                listParameters.Add(new SqlParameter("name","%"+txtQueryName.Text+"%"));
            }
            if (cbMobile.Checked)
            {
                listWhere.Add("MobilePhone like @mobile");
                listParameters.Add(new SqlParameter("mobile", "%" + txtQueryMobile.Text + "%"));
            }
           string sql = "select * from T_Customers\n";
            
            if (listWhere.Count > 0)
            {
                string sqlWhere = string.Join(" and ", listWhere.ToArray());
                sql =sql+" where "+sqlWhere;
            }
            dataGridView1.DataSource = SqlHelper.ExecuteDataTable(sql, listParameters.ToArray());

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net SqlParameter如何根据条件有选择的添加参数
10-25
有时候写sql语句的时候会根据方法传进来的参数来判断sql语句中where条件参数,下面有个示例,大家可以参考下
SQL Server 中 EXEC 与 SP_EXECUTESQL 的区别.doc
08-30
SQL Server 中 EXEC 与 SP_EXECUTESQL 的区别 MSSQL为我们提供了两种动态执行SQL语句的命令,分别是 EXEC 和 SP_EXECUTESQL ,我们先来看一下两种方式的用法。 先建立一个表,并添加一些数据来进行演示: 复制代码 CREATE TABLE t_student( Id INT NOT NULL, Name NVARCHAR (10) NULL, Age TINYINT NULL, School NVARCHAR(20) NULL, Class NVARCHAR(10) NULL, Score FLOAT NULL, CONSTRAINT [PK_Student_Id] PRIMARY KEY CLUSTERED(Id) ) GO INSERT INTO t_student VALUES(1,'张小红',8,'育才小学','一班',92) INSERT INTO t_student VALUES(2,'王丽丽',8,'育才小学','一班',90) INSERT INTO t_student VALUES(3,'张燕',7,'云华小学','二班',86) INSERT INTO t_student VALUES(4,'刘华',6,'云华小学','二班',85) 复制代码 一、EXEC EXEC命令可以执行一个存储过程也可以执行一个动态SQL语句。先来看看怎么执行存储过程: 新建一个存储过程 SP_GetStudent ,返回 成绩大于90 分的学生: 复制代码 CREATE PROCEDURE [dbo].[Sp_GetStudent] @Score FLOAT, @Nums INT OUTPUT AS BEGIN SET NOCOUNT ON; SELECT * FROM t_student WHERE Score >=@Score SELECT @Nums=COUNT(1) FROM t_student WHERE Score >=@Score IF(@Nums>0) RETURN 1 ELSE RETURN 0 END GO 复制代码 该存储过程涉及了 查询操作、返回值和输出参数,我们来看用EXEC 命令如何调用: 复制代码 DECLARE @return_value int, @OutNums int EXEC @return_value = [dbo].[Sp_GetStudent] @Score = 90, @Nums = @OutNums OUTPUT SELECT @OutNums as N'大于90分的人数' SELECT '返回值' = @return_value GO 复制代码 执行结果: 我们发现EXEC 执行存储过程和我们平时程序执行一个方法是几乎一样的,返回值参数 直接就可以等于存储过程的执行后的返回值,输出参数 在后面需要增加 OUTPUT 关键字。 执行存储过程不是重点,重点是执行动态sql语句,同样看一下例子: DECLARE @TableName NVARCHAR(50),@Sql NVARCHAR(MAX),@Score INT; SET @TableName = 't_Student'; SET @Score = 90; SET @sql = 'SELECT * FROM '+QUOTENAME(@TableName) +'WHERE Score >= '+CAST(@Score AS NVARCHAR(10)) EXEC (@sql); 执行结果: 注意:在执行拼接SQL 语句的时候,的EXEC括号中只允许包含一个字符串变量,但是可以串联多个变量,如果我们直接执行这个SQL语句: --这是错误的调用 EXEC ('SELECT * FROM '+QUOTENAME(@TableName) +'WHERE Score >= '+CAST(@Score AS NVARCHAR(10))); 执行就会提示错误。但是这样就没有问题: 复制代码 DECLARE @TableName NVARCHAR(50),@Sql NVARCHAR(MAX),@Score INT DECLARE @Sql2 NVARCHAR(MAX) SET @TableName = 't_Student'; SET @Score = 90; SET @sql = 'SELECT * FROM '+QUOTENAME(@TableName) SET @Sql2=' WHERE Score >= '+CAST(@Score AS NVARCHAR(10)) EXEC (@sql+@sql2) 复制代码 EXEC 执行拼接sql语句的时候不支持 嵌入式参数,如下: DECLARE @OUT_Nums INT,@IN_Score INT,@Sql NVARCHAR(MAX) SET @IN_Score = 90 SET @sql = 'SELECT @Nums=COUNT(1) FROM t_student WHERE Score >= @Score' EXEC (@sql) 通过上面的代码发现,EXEC 执行拼接的SQL语句的时候,不支持内嵌参数,包括输入参数和输出参数。有的时候我们想把得到的count(*)传出来,用EXEC是不好办到的。接下来,再来看看SP_EXECUTESQL的使用: 二、SP_EXECUTESQL: SP_EXECUTESQL 是在 SQL 2005中引入的新的系统存储过程,也是用来处理动态SQL 语句的。它比EXEC 更加灵活,首先也执行一下第一次的拼接SQL语句: DECLARE @TableName NVARCHAR(50),@Sql NVARCHAR(MAX),@Score INT; SET @TableName = 't_Student'; SET @Score = 90; SET @sql = 'SELECT * FROM '+QUOTENAME(@TableName) +'WHERE Score >= '+CAST(@Score AS NVARCHAR(10)) EXEC SP_EXECUTESQL @sql --注意这里没有了() 执行结果: SP_EXECUTESQL 支持内嵌参数: 先来看一下SP_EXECUTESQL的语法: sp_executesql [ @stmt = ] stmt [ {, [@params=] N'@parameter_name data_type [ OUT | OUTPUT ][,...n]' } {, [ @param1 = ] 'value1' [ ,...n ] } ] 说明: [ @stmt = ] stmt 包含 Transact-SQL 语句或批处理的 Unicode 字符串。stmt 必须是 Unicode 常量或 Unicode 变量。不允许使用更复杂的 Unicode 表达式(例如使用 + 运算符连接两个字符串)。不允许使用字符常量。如果指定了 Unicode 常量,则必须使用 N 作为前缀。例如,Unicode 常量 N'sp_who' 是有效的,但是字符常量 'sp_who' 则无效。字符串的大小仅受可用数据库服务器内存限制。在 64 位服务器中,字符串大小限制为 2 GB,即 nvarchar(max) 的最大大小。stmt 中包含的每个参数在 @params 参数定义列表和参数值列表中均必须有对应项 [ @params = ] N'@parameter_namedata_type[ ,... n ] ' 包含 stmt 中嵌入的所有参数定义的字符串。字符串必须是 Unicode 常量或 Unicode 变量。每个参数定义由参数名称和数据类型组成。n 是表示附加参数定义的占位符。在 stmt 中指定的每个参数必须在 @params 中定义。如果 stmt 中的 Transact-SQL 语句或批处理不包含参数,则不需要 @params。该参数的默认值为 NULL。 [ @param1 = ] 'value1' 参数字符串中定义的第一个参数的值。该值可以是 Unicode 常量,也可以是 Unicode 变量。必须为 stmt 中包含的每个参数提供参数值。如果 stmt 中的 Transact-SQL 语句或批处理没有参数,则不需要这些值。 [ OUT | OUTPUT ] 指示参数是输出参数。除非是公共语言运行 (CLR) 过程,否则 text、ntext 和 image 参数均可用作 OUTPUT 参数。使用 OUTPUT 关键字的输出参数可以为游标占位符,CLR 过程除外。 n 附加参数值的占位符。这些值只能为常量或变量,不能是很复杂的表达式(例如函数)或使用运算符生成的表达式。 返回代码值 : 0(成功)或非零(失败) 结果集:从生成 SQL 字符串的所有 SQL 语句返回结果集 看不懂没有关系,通过例子就会非常明白的,依旧还执行上面的 SQL 语句: DECLARE @OUT_Nums INT,@IN_Score INT,@Sql NVARCHAR(MAX) SET @IN_Score = 90 SET @sql = 'SELECT @Nums=COUNT(1) FROM t_student WHERE Score >= @Score' EXEC SP_EXECUTESQL @sql,N'@Nums INT OUT,@Score INT',@OUT_Nums OUTPUT,@IN_Score SELECT @OUT_Nums AS '人数' 执行结果: 需要注意的是: 1、要求动态Sql动态Sql参数列表必须是NVARCHAR 2、动态Sql参数列表与外部提供值的参数列表顺序必需一致 3、一旦使用了 '@name = value' 形式之后,所有后续的参数就必须以 '@name = value' 的形式传递,比如: DECLARE @OUT_Nums INT,@IN_Score INT,@Sql NVARCHAR(MAX) SET @IN_Score = 90 SET @sql = 'SELECT @Nums=COUNT(1) FROM t_student WHERE Score >= @Score' EXEC SP_EXECUTESQL @stmt=@sql,@params=N'@Nums INT OUT,@Score INT',@Nums=@OUT_Nums OUTPUT,@Score=@IN_Score SELECT @OUT_Nums AS '人数' 通过上面的例子已经很清晰的表明了,在执行动态SQL 语句的时候,EXEC 和 SP_EXECUTESQL 的区别了,来总结一下: 1、 性能: 官方描述:sp_executesql stmt 参数中的 Transact-SQL 语句或批处理在执行 sp_executesql 语句时才编译。随后,将编译 stmt 中的内容,并将其作为执行计划运行。该执行计划独立于名为 sp_executesql 的批处理的执行计划。sp_executesql 批处理不能引用调用 sp_executesql 的批处理中声明的变量。sp_executesql 批处理中的本地游标或变量对调用 sp_executesql 的批处理是不可见的。对数据库上下文所做的更改只在 sp_executesql 语句结束前有效。如果只更改了语句中的参数值,则 sp_executesql 可用来代替存储过程多次执行 Transact-SQL 语句。因为 Transact-SQL 语句本身保持不变,仅参数值发生变化,所以 SQL Server 查询优化器可能重复使用首次执行时所生成的执行计划。 说通俗一点就是:如果用 EXEC 执行一条动态 SQL 语句,由于每次传入的参数不一样,所以每次生成的 @sql 就不一样,这样每执行一次SQL SERVER 就必须重新将要执行的动态 Sql 重新编译一次 。但是SP_EXECUTESQL 则不一样,由于将数值参数化,要执行的动态 Sql 永远不会变化,只是传入的参数的值在变化,那每次执行的时候就不用重新编译,速度和效率自然有所提升。 2、从上面的例子我们已经能够看出 SP_EXECUTESQL 命令比 EXEC 命令更灵活,因为它提供一个接口,该接口及支持输入参数也支持输出参数。 3、EXEC 执行纯动态SQL,执行时可能无法使用预编译的执行计划,关键是不安全,可以导致 SQL 注入 ,而 SP_EXECUTESQL 执行参数动态 SQL ,执行时能使用预编译的执行计划,而且保存存储过程时就可以确定可以使用的预编译的执行计划,而且最重要的是“安全”,天然免疫SQL 注入 作者:Rising Sun 出处:http://www.cnblogs.com/lxblog/ 本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利.
C# 中SqlParameter类的使用方法小结
热门推荐
阳光岛主
08-06 3万+
 C# 中SqlParameter类的使用方法小结在c#中执行sql语句时传递参数的小经验 1、直接写入法:      例如:             int Id =1;             string Name="lui";             cmd.CommandText="insert into TUserLogin values("+Id+","
C#连接与操作数据库的基本使用
PChghi的博客
06-16 408
ADO.NET SqlParameter
VS2005(c#)项目调试问题解决方案集锦
lavly的专栏
06-30 3295
1.检测到有潜在危险的 Request.Form 值  原因:  (1)在提交数据的页面或webconfig中没有对validateRequest的属性进行正确的设置  (2)HTML里面写了两个   引起   解决:  方案一: 在.aspx文件头中加入这句:  方案二: 修改web.config文件: 以下是引用片段:      因为validateReques
转载:C#3.0入门系列(五)[原dlinq入门系列]
weixin_30569001的博客
07-03 123
从本节开始,本文正式更名为C#3.0入门系列。先发布一则消息,VS2007 Beta版本已经发布咯,下载地址:http://www.microsoft.com/downloads/details.aspx?FamilyID=1FF0B35D-0C4A-40B4-915A-5331E11C39E6&displaylang=en大家快去下载呀,我也好和大家一起体验该版本最新功能呀。dlinq...
C#WinForm利用DataGridView创作高级查询窗体
weixin_34148456的博客
11-01 578
创作前,我们先整理一下思路。简单点来说,高级查询关键就是:select * from 表名 where 字段=’***’ and字段>’***’ or字段<’***’ and字段 like ‘%***%’ or字段<>’***’……,where后面的字符串的拼接。假如,有办法获取到where后面的字符,那么高级查询就可以做到了。下面就...
CCJSqlParserUtil 增加where条件
qq_18871751的博客
06-04 1922
package com.alibaba.kaola.ad.searchad.common.utils; import net.sf.jsqlparser.JSQLParserException; import net.sf.jsqlparser.expression.Expression; import net.sf.jsqlparser.expression.operators.conditional.AndExpression; import net.sf.jsqlparser.parser.CCJ.
C# web 分页控件
东明之羞的博客
09-12 3491
优化分页,需要的情况下手动加载总页数、总数量
使用jsqlparser获取sql语句所有字段信息
司马班如
05-24 2588
在建表的时候,需要获取表名和字段,有两种方式,自己写正则表达式获取,或者调用现成的库,自己造轮子有点复杂,于是打算寻找有没有开源的库,找了很久后,终于找到了一个开源的jsqlparser,这个开源的库可以获取sql语句所有的信息,包括表名和字段,它的用法是Statement stmt = CCJSqlParserUtil.parse(sql),Statement是一个接口,它根据sql语句可以转化成不同的实现类,如下: 不同sql语句对应的操作类型都可以被格式化成对应的实现类,如果sql语句有误的时候,C
WINFORM多条件动态查询通用代码的设计与实现
01-19
WINFORM多条件动态查询通用代码的设计与实现可以疊加条件
asp.net SqlParameter关于Like的传参数无效问题
01-02
SqlParameter[] parameters = { new SqlParameter(“@Name”, searchName) }; 但结果是查询不到结果,跟踪代码也没有发现错误,又不想用字符串拼接的方式(防止攻击)。于是跟踪了Sql的执行,发现问题在于Sql参数...
Oracle9i的init.ora参数中文说明
11-07
使用多个 UTL_FILE_DIR 参数即可指定多个目录。请注意所有用户均可读取或写入 UTL_FILE_DIR 参数中指定的所有文件。 值范围: 任何有效的目录路径。 默认值: 无 plsql_v2_compatibility: 说明: 设置 PL/SQL 兼容级...
项目笔记(项目中遇到的注意点;未进行分类,比较乱,敬请谅解)
weixin_44464509的博客
03-29 1482
C# Winform 导出当前界面数据到excel 1.string foldPath = string.Empty; SaveFileDialog dialog = new SaveFileDialog(); dialog.Filter = “Excel|*.xlsx”; if (dialog.ShowDialog() == DialogResult.OK) { foldPath = dialo...
C#设计模式编程之抽象工厂模式新解
cxzhq2002的杂记
06-27 894
C#设计模式编程之抽象工厂模式新解 作者: terrylee
【 Mybatis拦截器 + jsqlparser 实现加解密(修改SQL)】
NeverTure的博客
06-10 924
加解密拦截,实现加密入库,解密模糊查询
JsqlParser工具类获取 where 参数
daohangtaiqian的博客
10-28 1382
这里面会包含所有可能的sql运算符号,= 、 >=、
JSqlparser 拼接SQL where条件
a250152的专栏
01-09 1739
JSqlparser
mybatis-plus 拦截器 添加where条件
最新发布
06-28
### 回答1: MyBatis-Plus是基于MyBatis的增强工具库,它提供了一系列的功能增强,其中就包括拦截器。拦截器是MyBatis执行SQL语句时的一个重要环节,可以在执行SQL语句之前或之后对语句进行处理,实现自定义逻辑。 MyBatis-Plus的拦截器可以使用自定义的逻辑来实现添加where条件的功能。具体操作如下: 1.实现自定义的Interceptor拦截器类,并覆盖该类的intercept()方法。 2.在该方法中通过Invocation对象获取当前的MappedStatement、BoundSql参数列表等对象。 3.根据当前的MappedStatement对象获取到对应的SQL语句,并在该SQL语句的后面添加where条件。 4.创建新的BoundSql对象,将修改过的SQL语句和参数列表注入到BoundSql对象中。 5.通过反射将修改后的BoundSql对象覆盖原有的BoundSql对象。 6.最后将Invocation对象返回即可。 示例代码如下: public class MyInterceptor implements Interceptor { @Override public Object intercept(Invocation invocation) throws Throwable { MappedStatement mappedStatement = (MappedStatement) invocation.getArgs()[0]; Object parameter = invocation.getArgs()[1]; BoundSql boundSql = mappedStatement.getBoundSql(parameter); String sql = boundSql.getSql(); // 在该SQL语句的后面添加where条件 sql = sql + " where 1=1"; BoundSql newBoundSql = new BoundSql(mappedStatement.getConfiguration(), sql, boundSql.getParameterMappings(), parameter); // 利用反射将新的BoundSql对象覆盖原有的BoundSql对象 Field field = boundSql.getClass().getDeclaredField("sql"); field.setAccessible(true); field.set(boundSql, newBoundSql.getSql()); return invocation.proceed(); } } 上述代码中的where条件为固定值"where 1=1",你可以根据需要修改为具体的条件。同时,我们也可以使用更加灵活的方式进行拦截器的使用和注入。例如,在MyBatis的配置文件中添加以下配置: <plugins> <plugin interceptor=”com.example.MyInterceptor”/> </plugins> 其中,com.example.MyInterceptor为你实现的自定义拦截器类的完整类名。这样,我们就可以直接将这个拦截器注入到MyBatis中,实现添加where条件的效果。 ### 回答2: Mybatis-Plus是一款基于Mybatis的增强工具包,可以方便地进行CRUD操作。Mybatis-Plus提供了很多的增强功能,其中就包括拦截器功能。 拦截器是Mybatis-Plus实现增强功能的一种方式。Mybatis-Plus的拦截器是基于Mybatis的拦截器实现的,通过拦截器可以在Sql语句执行前、执行后、异常时进行处理,达到自定义增强Sql语句的目的。 添加Where条件是在查询时经常使用的功能。Mybatis-Plus提供了方便的方式来实现拦截器添加Where条件的功能。具体步骤如下: 1. 创建拦截器类 创建一个拦截器类,实现Mybatis的Interceptor接口,并在实现类中实现intercept方法。 2. 复写intercept方法 在intercept方法中获取执行的Sql语句,判断是否查询语句,如果是查询语句,则获取查询条件,并在Sql语句中添加Where条件。 3. 配置拦截器 将编写好的拦截器配置到Mybatis-Plus的SqlSessionFactoryBean中,可以使用Mybatis-Plus提供的全局拦截器GlobalConfig进行配置。 通过以上步骤,可以很方便地实现拦截器添加Where条件的功能。使用拦截器添加Where条件的好处是可以统一管理,不需要在查询业务上重复添加Where条件。同时,拦截器也可以实现很多自定义功能,例如分页、参数校验等。 ### 回答3: Mybatis-Plus 是一款基于 Mybatis 的增强工具,在 Mybatis の基础上提供了很多实用的功能。其中,拦截器就是其重要的一部分。拦截器能够在 Mybatis-Plus 的执行流程中插入一些自己的逻辑,这些逻辑可以用来增强、定制 Mybatis-Plus 的功能,比如添加 where 条件。 Mybatis-Plus 的拦截器机制是以 Mybatis 的拦截器机制为基础的。Mybatis-Plus 在 Mybatis 的拦截器机制基础上,实现了自己的拦截器接口 Interceptor。实现自己的拦截器,需要实现 Interceptor 接口,然后重写 intercept 方法,在中拦截器方法中编写所需的逻辑,比如添加 where 条件添加 where 条件主要是在 SQL 执行的过程中插入一些条件语句,这些语句用于限制查询结果的范围。在 Mybatis 中,可以通过 ParameterHandler 来获取参数,通过 BoundSql 来获取 SQL 语句,并且在 BoundSql 中插入 where 条件语句。在具体的实现中,通过自定义 Mybatis-Plus 的拦截器,就可以轻松地实现添加 where 条件功能。 具体实现步骤如下: 1.自定义拦截器类,实现 Interceptor 接口 2.在 intercept 方法中实现自己的逻辑,获取参数并修改 BoundSql 3.在 Mybatis-Plus 配置文件中配置该拦截器 4.运行代码,查看效果 需要注意的是,添加 where 条件语句必须符合 SQL 语法,否则会导致 SQL 执行失败。另外,如果在拦截器中修改 BoundSql,一定要注意修改之后 SQL 的正确性,以免影响查询结果。 总之,Mybatis-Plus 的拦截器机制为我们提供了很多定制 Mybatis-Plus 功能的方便,添加 where 条件就是其中之一,可以根据实际需求,自定义实现自己的拦截器,并在其中添加需要的 where 条件,以实现更加灵活的查询功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值