有 LIKE 和 IN 條件的參數化查詢
在 .NET 程式設計領域,參數化查詢通常很容易設定。但是,在處理涉及多個值的複雜條件時,會出現困難。
考慮以下同時包含IN 條件和LIKE 條件的查詢:
SqlCommand comm = new SqlCommand(@"
SELECT *
FROM Products
WHERE Category_ID IN (@categoryids)
OR name LIKE '%@name%'
",
conn);
comm.Parameters.Add("@categoryids", SqlDbType.Int);
comm.Parameters["@categoryids"].Value = CategoryIDs;
comm.Parameters.Add("@name", SqlDbType.Int);
comm.Parameters["@name"].Value = Name;在這種情況下,CategoryIDs 是一個以逗號分隔的數字列表,Name 是可能包含特殊字元的字串。挑戰在於正確地參數化這些值。
解
為了解決這個問題,我們建立了一系列參數名稱@p0到@pN-1,其中N是數組中類別 ID 的數量。然後,我們為每個名稱建立參數,並將對應的類別 ID 指定為值。
對於 LIKE 條件,我們使用字串串聯來建立包含 @name 的模糊搜尋表達式。
這是一個範例來說明這個過程:
string Name = "someone";
int[] categoryIDs = new int[] { ... };
SqlCommand comm = conn.CreateCommand();
string[] parameters = new string[categoryIDs.Length];
for(int i=0;i<categoryIDs.Length;i++)
{
parameters[i] = "@p"+i;
comm.Parameters.AddWithValue(parameters[i], categoryIDs[i]);
}
comm.Parameters.AddWithValue("@name",$"%{Name}%");
comm.CommandText = "SELECT * FROM Products WHERE Category_ID IN (";
comm.CommandText += string.Join(",", parameters) + ")";
comm.CommandText += " OR name LIKE @name";這個完全參數化的查詢確保了處理複雜條件的安全性和靈活性。雖然此範例使用數組,但該技術適用於任何值集合。
以上是如何在 .NET SQL 查詢中參數化 LIKE 和 IN 條件?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
