如何使用ADO.NET/C＃進行涉及多個表的參數化查詢？

Question

我想提出的參數化查詢的SQLQuery可以是這樣的：

SELECT * FROM Table1 WHERE Col1 IN (SELECT Col2 FROM Table2 WHERE Col3 IN (1, 2, 3)); 

的數據來自WS接口，雖然我可以信任的消費者我想發揮它的安全和使用參數化查詢涉及DbParameters防止SQL注入。怎麼做？

謝謝！

Answer 1

正如您所注意的，關鍵點是使用參數。令人討厭的是，IN子句出了名的問題。現在，如果你知道值均爲整數（例如你正在服用的int[]參數到C＃方法），那麼你可以只是與之類的東西脫身：

cmd.CommandText = "SELECT * FROM Table1 WHERE Col1 IN (SELECT Col2 FROM Table2 WHERE Col3 IN (" 
+ string.Join(",", values) + "))"; // please don't!!! 

這是可怕的，表明一個非常糟糕的做法（如果有人將其複製爲字符串，則處於痛苦的世界），並且不能使用查詢計劃緩存。您可以做這樣的事情：

var sb = new StringBuilder("SELECT * FROM Table1 WHERE Col1 IN (SELECT Col2 FROM Table2 WHERE Col3 IN ("); 
int idx = 0; 
foreach(var val in values) { 
    if(idx != 0) sb.Append(','); 
    sb.Append("@p").Append(idx); 
    cmd.Parameters.AddWithValue("@p" + idx, val); 
    idx++ 
} 
sb.Append("))"); 
cmd.CommandText = sb.ToString(); 

這是首選的，但尷尬。

或者簡單：與像dapper的工具，讓庫擔心：

var data = conn.Query<YourType>(
    "SELECT * FROM Table1 WHERE Col1 IN (SELECT Col2 FROM Table2 WHERE Col3 IN @values)", 
    new { values }); 

這裏短小精悍點的使用和「做正確的事」。它也爲您處理「0值」的情況。

Answer 2

下面是一個例子：

SqlCommand cmd = new SqlCommand("SELECT * FROM Table1 WHERE Col1 IN (SELECT Col2 FROM Table2 WHERE Col3 = @myparam", conn); 

//define parameters used in command object 
SqlParameter param = new SqlParameter(); 
param.ParameterName = "@myparam"; 
param.Value   = "myvalue"; 

//add new parameter to command object 
cmd.Parameters.Add(param); 

// get data stream 
reader = cmd.ExecuteReader(); 

看看這個鏈接查看更多細節： http://csharp-station.com/Tutorial/AdoDotNet/Lesson06

Answer 3

的困難在這裏被參數化每個單獨IN子句，這樣就可以通過ID的變量數。

看一看這個有用的物品作爲一種方法來解決這個問題：http://www.mikesdotnetting.com/Article/116/Parameterized-IN-clauses-with-ADO.NET-and-LINQ

基本上，它涉及字符串操作的一點點建立IN子句的參數列表，這樣就結束了一個對於具有3個ID的特定示例，SQL語句如下所示：

select * from TABLE1 where COL1 in (select COL2 from TABLE2 where COL3 IN (@p1, @p2, @p3));