.net sql where in 参数化

最新推荐文章于 2022-07-18 18:53:31 发布
最新推荐文章于 2022-07-18 18:53:31 发布
阅读量601 收藏
点赞数
文章标签: c# 数据库 java
原文链接:http://www.cnblogs.com/plin2008/archive/2009/08/10/1542721.html
版权
其实要执行的东西很简单就是一句.(ps,随手敲的,不排除手误)

select * from tb where id in(1,2,3,4)

那么就成了语句的构造问题了

in ()里面是个集合,而楼主的写法是 id in ('1,2,4,3') 是in一个字串. 当然取不到了.
string sql="select * from tb where id in(@ids)";
相当于
string sql="select * from tb wehre id in('1,2,3,4');

如果一定要这样以传参数方式,并且ids给字串,那么
C# code 
 
   
 
    string 
     sql 
    = 
    " 
    exec('select * from tb where id in (' + @ids + ')') 
    " 
     SqlParameter[] Para1  
    = 
      
    new 
     SqlParameter[ 
    1 
    ]; Para1[ 
    0 
    ]  
    = 
      
    new 
     SqlParameter( 
    " 
    @id 
    " 
    , SqlDbType.NVarChar, 
    200 
    ); Para1[ 
    0 
    ].Value  
    = 
     idStr;  
    return 
     SqlHelper.ExecuteDataset(My_config.GetConnstr, CommandType.Text, sql, Para1);  
   
 
  
 
 
相当于执行 
 
 
 
 
  
    SQL code 
   
  
 
   
 
   
 
    exec 
    ( 
    ' 
    select * from tb where id in ( 
    ' 
      
    + 
      
    ' 
    1,2,3,4 
    ' 
      
    + 
      
    ' 
    ) 
    ' 
    ) 
   
 
  
 
 
 
 
 
 
 
 
如果ids给字串,但不要求以传参数方式执行 那么 
 
 
 
 
 
 
  
    C# code 
   
  
 
   
 
   
 
    string 
     sql 
    = 
    " 
    select * from tb wehre id in ( 
    " 
      
    + 
     idStr  
    + 
      
    " 
    ) 
    " 
    ;  
    return 
     SqlHelper.ExecuteDataset(My_config.GetConnstr, CommandType.Text, sql,  
    null 
    );  
   
 
  
 
 
 
 
相当于执行 
 
 
 
 
  
    SQL code 
   
  
 
   
 
   
 
    select 
      
    * 
      
    from 
     tb  
    where 
     id  
    in 
    ( 
    1 
    , 
    2 
    , 
    3 
    , 
    4 
    ) 
   
 
  
 
 
 
 
 
 
 
 
如果一定要这样以传参数方式,且ids给字串,且不允许语句用exec来执行,那么 
 
 
 
 
  
    C# code 
   
  
 
   
 
   
 
    string 
     sql 
    = 
    " 
    select * from tb where charindex(',' + rtrim(id) + ',' , ',' + @ids + ',')>0 
    " 
    ; SqlParameter[] Para1  
    = 
      
    new 
     SqlParameter[ 
    1 
    ]; Para1[ 
    0 
    ]  
    = 
      
    new 
     SqlParameter( 
    " 
    @id 
    " 
    , SqlDbType.NVarChar, 
    200 
    ); Para1[ 
    0 
    ].Value  
    = 
     idStr;  
    return 
     SqlHelper.ExecuteDataset(My_config.GetConnstr, CommandType.Text, sql, Para1);  
   
 
  
 
 
 
 
相当于执行 
 
 
 
 
  
    SQL code 
   
  
 
   
 
   
 
    select 
      
    * 
      
    from 
     tb  
    where 
      
    charindex 
    ( 
    ' 
    , 
    ' 
    + 
    rtrim 
    (id) 
    + 
    ' 
    , 
    ' 
    , 
    ' 
    , 
    ' 
    + 
    ' 
    1,2,3,4 
    ' 
    + 
    ' 
    , 
    ' 
    ) 
    > 
    0 
   
 
  
 
 
当然,charindex方式可以改用like完成.写法略 

 

转载于:https://www.cnblogs.com/plin2008/archive/2009/08/10/1542721.html

                

        

        




    




    

      

        

            

              
                
                  weixin_30793643
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
SQL中in参数化的用法

				
			

			

				

					05-06
				

			

		

		

			
				
SQL中in参数化的用法,用三种方法,详见http://www.cnblogs.com/lzrabbit/archive/2012/04/22/2465313.html#wherein

			
		

	



                

              
                



	

		

			

				
					
SqlServer参数化查询之where in和like实现详解

				
			

			

				

					09-11
				

			

		

		

			
				
总的来说,正确地实现`WHERE IN`和`LIKE`的参数化查询,可以显著提高查询性能,同时避免SQL注入风险。在处理大量数据时,应优先考虑使用参数化查询,同时注意合理设计索引来提升查询效率。对于复杂的查询场景,可能...

			
		

	



                


  
              

                


	

		

			

				
					
C# asp.netsql like in 参数化

				
			

			

				

					weixin_30701575的博客
				

				

					02-08
					
					157
					
				

			

		

		

			
				
Like 参数:string strSql = "select * from Person.Address where City like '%@add%'";SqlParameter[] Parameters=new SqlParameter[1];Parameters[0] = new SqlParameter("@add", "bre");
In 参数string strSql = "se...

			
		

	





	

		

			

				
					
.NET下IN关键字下多个并列参数的参数化

				
			

			

				

					醉酒的李白、的博客
				

				

					07-18
					
					434
					
				

			

		

		

			
				
.NET下IN关键字下多个并列参数的参数化

			
		

	



		

			
		



	

		

			

				
					
SQL SERVER IN参数化处理

				
			

			

				

					Steven's Blog
				

				

					07-08
					
					3162
					
				

			

		

		

			
				
方法一、
CREATE TABLE [dbo].[Users]
    (
      Id INTEGER IDENTITY(1, 1)
                 PRIMARY KEY ,
      Name NVARCHAR(50) NOT NULL
    ) ;
GO
//循环插值
DECLARE @Counter INTEGER
SET @Counter 

			
		

	





	

		

			

				
					
asp.netsqlparameter 的使用

				
			

			

				

					学习也休闲
				

				

					10-28
					
					2056
					
				

			

		

		

			
				
sqlparameter
 
命名空间: System.Data.SqlClient

程序集: System.Data(在 system.data.dll 中)
 
构造函数
 
public SqlParameter (
   string parameterName,
   SqlDbType dbType,
   int size,
   ParameterDirectio

			
		

	





	

		

			

				
					
ado.net操作oracle简单参数化sql操作

				
			

			

				

					11-23
				

			

		

		

			
				
在本文中,我们将深入探讨如何使用ADO.NET进行Oracle数据库的简单参数化SQL操作,这对于防止SQL注入攻击、提高代码可读性和复用性至关重要。  首先,要进行Oracle数据库操作,我们需要引入Oracle的数据提供者——...

			
		

	





	

		

			

				
					
SqlServer:使用IN()子句C#进行参数化查询

				
			

			

				

					04-07
				

			

		

		

			
				
总之,通过C#和ADO.NET,我们可以安全高效地使用参数化查询处理SQL Server中的IN操作符,实现灵活的数据筛选。结合Entity Framework,这种能力可以进一步扩展到更高级的ORM操作,使开发更加简洁和高效。

			
		

	





	

		

			

				
					
SqlParameter in (@ids)

				
			

			

				

					stoco的专栏
				

				

					08-30
					
					2725
					
				

			

		

		

			
				

  
    
			直接传入在将 varchar 值
'1,2,3,4,5,6,7,8' 转换成数据类型 int 时失败。
SqlParameter会在编译时加上''变成varchar,使用charindex解决。



WHERE charindex(rtrim(字段名), @ids)>0;







注:按以上方案会出现ids=17的时候,会出现id=1,id=7,id=17的都...

			
		

	





	

		

			

				
					
NET的LINQ to Entity模拟实现SQL的WHERE IN

				
			

			

				

					99guo的专栏
				

				

					05-13
					
					2657
					
				

			

		

		

			
				
1. [代码]构造Lambda语句     


?





1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28



			
		

	





	

		

			

				
					
C#SqlParameter类的使用方法小结

					
热门推荐

				
			

			

				

					阳光岛主
				

				

					08-06
					
					3万+
					
				

			

		

		

			
				
 C#SqlParameter类的使用方法小结在c#中执行sql语句时传递参数的小经验 1、直接写入法:      例如:             int Id =1;             string Name="lui";             cmd.CommandText="insert into TUserLogin values("+Id+","

			
		

	





	

		

			

				
					
where in 和where=

				
			

			

				

					sina123的博客
				

				

					05-25
					
					3556
					
				

			

		

		

			
				
比如 select * from student where Sname='张三';/*查询姓名叫张三的学生的信息*/

select * from student where Sname in('张三','李四');/*查询张三和李四的学生的信息*/

select * from student where Sname in(select Sname from sn where Sno='001

			
		

	





	

		

			

				
					
SQL   语句   where id in()  出现的问题

				
			

			

				

					qq_1334124306
				

				

					11-28
					
					7516
					
				

			

		

		

			
				
自己编写sql查询   where id in()  出现的问题

mybatis 中当 DAO 传入的 List 参数时,会自动将参数封装成 Map 参数,而 map中的 key 会自动用 list , value 就是你传入的 List 参数.
修改
第一种: 将 List 参数封装为 Map 然后再传入,在 XML 配置页面写上相应 key 值.
第二种: 将 condition 的值修...

			
		

	





	

		

			

				
					
sql语句中当条件的数量非常大时where...in条件子句用什么更好的方法代替?

				
			

			

				

					IT技术宅-北方的刀郎
				

				

					10-23
					
					7147
					
				

			

		

		

			
				
http://bbs.csdn.net/topics/390137775/

EXPLAIN EXTENDED


How to create fast database queries



Passing parameters in MySQL: IN list vs. temporary
 table

with 4 comments


When you ne

			
		

	





	

		

			

				
					
LINQ - 在Where條件式中使用in與not in

				
			

			

				

					qq506930427的博客
				

				

					08-08
					
					4087
					
				

			

		

		

			
				
T-SQL的IN: 
Select ProductID, ProductName, CategoryID From dbo.Products  
Where not CategoryID in (1, 2)
T-SQL的NOT IN: 
Select ProductID, ProductName, CategoryID From dbo.Products  
Where Category

			
		

	





	

		

			

				
					
.NET SQL注入防护全面指南

				
			

			

				

					
				

			

		

		

			
				
6. 使用ORM(对象关系映射)工具:例如Entity Framework等,它们在底层处理SQL查询,通常能更好地防止SQL注入,因为它们会自动参数化查询。  7. 最小权限原则:确保应用程序连接数据库的用户账户只有执行所需操作的...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值