具有 LIKE 和 IN 条件的参数化查询
在 .NET 中使用参数化查询时,示例通常演示如何在简单场景中使用它们,例如将单个列值与参数进行比较。然而,当处理像 IN 和 LIKE 这样涉及多个参数或非标准字符的条件时,事情会变得更加复杂。
使用 IN 条件查询
让我们考虑一个根据类别 ID 搜索产品的查询,其中类别 ID 可以是逗号分隔的列表整数。
SELECT * FROM Products WHERE Category_ID IN (@categoryids)
要使用整数数组 CategoryIDs 参数化此查询,我们需要循环遍历该数组并为每个类别 ID 创建一个参数。
int[] categoryIDs = new int[] { 238, 1138, 1615, 1616, 1617 };
SqlCommand comm = conn.CreateCommand();
string[] parameters = new string[categoryIDs.Length];
for (int i = 0; i < categoryIDs.Length; i++)
{
parameters[i] = "@p" + i;
comm.Parameters.AddWithValue(parameters[i], categoryIDs[i]);
}
comm.CommandText = "SELECT * FROM Products WHERE Category_ID IN (";
comm.CommandText += string.Join(",", parameters) + ")";查询with LIKE 条件
现在让我们添加一个 LIKE 条件来搜索名称中包含特定字符串的产品,可能包含特殊字符。
SELECT * FROM Products WHERE Category_ID IN (@categoryids) OR name LIKE '%@name%'
要参数化此查询,我们为名称值创建一个参数,并使用串联在查询中搜索名称。
string Name = "someone";
SqlCommand comm = conn.CreateCommand();
comm.Parameters.AddWithValue("@name", $"%{Name}%");
comm.CommandText = "SELECT * FROM Products WHERE Category_ID IN (";
comm.CommandText += string.Join(",", parameters) + ")";
comm.CommandText += " OR name LIKE @name";通过使用通过这种方法,我们可以创建完全参数化的查询,以不同的参数类型处理 IN 和 LIKE 条件,从而确保数据库访问的安全性和性能。
以上是如何在 .NET 中使用 LIKE 和 IN 条件参数化查询?的详细内容。更多信息请关注PHP中文网其他相关文章!
