Parametrisierte Abfragen mit LIKE- und IN-Bedingungen
Parametrisierte Abfragen in .Net beinhalten normalerweise die Verwendung bestimmter Parameternamen und das Hinzufügen von Werten zu diesen Parametern. Wenn es jedoch um Bedingungen wie IN oder LIKE geht, die möglicherweise mehrere oder dynamische Parameterwerte erfordern, kann die Syntax komplexer werden.
Lassen Sie uns auf das Spezifische eingehen Frage:
Abfrage:
SELECT * FROM Products WHERE Category_ID IN (@categoryids) OR name LIKE '%@name%'
Parameter:
Geänderte Syntax:
Zu erstellen Bei einer vollständig parametrisierten Abfrage müssen wir die Parameternamen und -werte für die IN-Bedingung dynamisch erstellen. Wir können dies erreichen, indem wir eine Schleife verwenden:
int[] categoryIDs = ...;
string Name = ...;
SqlCommand comm = ...;
string[] parameters = new string[categoryIDs.Length];
for (int i = 0; i < categoryIDs.Length; i++)
{
parameters[i] = "@p" + i;
comm.Parameters.AddWithValue(parameters[i], categoryIDs[i]);
}
comm.Parameters.AddWithValue("@name", $"%{Name}%");Geänderter Abfragetext:
Verketten Sie die generierten Parameternamen in der IN-Bedingung:
WHERE Category_ID IN (@p0, @p1, ...)
Der endgültige Abfragetext würde wie folgt aussehen:
SELECT * FROM Products WHERE Category_ID IN (@p0, @p1, ...) OR name LIKE @name
Dieser Ansatz stellt sicher, dass jede CategoryID einzeln parametrisiert wird und dass die LIKE-Bedingung auch mit der entsprechenden Mustersyntax parametrisiert ist. Durch die vollständige Parametrisierung der Abfrage verhindern Sie SQL-Injection und verbessern die Leistung.
Das obige ist der detaillierte Inhalt vonWie parametrisiere ich LIKE- und IN-Bedingungen in .NET-Abfragen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
