Requêtes paramétrées avec des conditions LIKE et IN
Les requêtes paramétrées dans .Net impliquent généralement l'utilisation de noms de paramètres spécifiques et l'ajout de valeurs à ces paramètres. Cependant, lorsqu'il s'agit de conditions telles que IN ou LIKE, qui peuvent nécessiter des valeurs de paramètres multiples ou dynamiques, la syntaxe peut devenir plus complexe.
Abordons les problèmes spécifiques. question :
Requête :
SELECT * FROM Products WHERE Category_ID IN (@categoryids) OR name LIKE '%@name%'
Paramètres :
Syntaxe modifiée :
Pour créer une requête entièrement paramétrée, nous devons construire dynamiquement les noms et les valeurs des paramètres pour la condition IN. Nous pouvons y parvenir en utilisant une boucle :
int[] categoryIDs = ...;
string Name = ...;
SqlCommand comm = ...;
string[] parameters = new string[categoryIDs.Length];
for (int i = 0; i < categoryIDs.Length; i++)
{
parameters[i] = "@p" + i;
comm.Parameters.AddWithValue(parameters[i], categoryIDs[i]);
}
comm.Parameters.AddWithValue("@name", $"%{Name}%");Texte de requête modifié :
Concaténer les noms de paramètres générés dans la condition IN :
WHERE Category_ID IN (@p0, @p1, ...)
Le texte final de la requête ressemblerait à :
SELECT * FROM Products WHERE Category_ID IN (@p0, @p1, ...) OR name LIKE @name
Cette approche garantit que chaque CategoryID est paramétré individuellement et que la condition LIKE est également paramétrée avec la syntaxe de modèle appropriée. En paramétrant entièrement la requête, vous évitez l'injection SQL et améliorez les performances.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
