带有 LIKE 和 IN 条件的参数化查询
在 .NET 编程领域,参数化查询通常很容易设置。但是,在处理涉及多个值的复杂条件时,会出现困难。
考虑以下同时包含 IN 条件和 LIKE 条件的查询:
SqlCommand comm = new SqlCommand(@"
SELECT *
FROM Products
WHERE Category_ID IN (@categoryids)
OR name LIKE '%@name%'
",
conn);
comm.Parameters.Add("@categoryids", SqlDbType.Int);
comm.Parameters["@categoryids"].Value = CategoryIDs;
comm.Parameters.Add("@name", SqlDbType.Int);
comm.Parameters["@name"].Value = Name;在这种情况下,CategoryIDs 是一个以逗号分隔的数字列表,Name 是可能包含特殊字符的字符串。挑战在于正确地参数化这些值。
解决方案
为了解决这个问题,我们构建了一系列参数名称@p0到@pN-1,其中N是数组中类别 ID 的数量。然后,我们为每个名称创建参数,并将相应的类别 ID 指定为值。
对于 LIKE 条件,我们使用字符串串联来构建包含 @name 的模糊搜索表达式。
这是一个示例来说明该过程:
string Name = "someone";
int[] categoryIDs = new int[] { ... };
SqlCommand comm = conn.CreateCommand();
string[] parameters = new string[categoryIDs.Length];
for(int i=0;i<categoryIDs.Length;i++)
{
parameters[i] = "@p"+i;
comm.Parameters.AddWithValue(parameters[i], categoryIDs[i]);
}
comm.Parameters.AddWithValue("@name",$"%{Name}%");
comm.CommandText = "SELECT * FROM Products WHERE Category_ID IN (";
comm.CommandText += string.Join(",", parameters) + ")";
comm.CommandText += " OR name LIKE @name";这个完全参数化的查询确保了处理复杂条件的安全性和灵活性。虽然该示例使用数组,但该技术适用于任何值集合。
以上是如何在 .NET SQL 查询中参数化 LIKE 和 IN 条件?的详细内容。更多信息请关注PHP中文网其他相关文章!
