具有 LIKE 和 IN 条件的参数化查询
.Net 中的参数化查询通常涉及使用特定参数名称并向这些参数添加值。但是,在处理 IN 或 LIKE 等可能需要多个或动态参数值的条件时,语法可能会变得更加复杂。
让我们解决具体问题问题:
查询:
SELECT * FROM Products WHERE Category_ID IN (@categoryids) OR name LIKE '%@name%'
参数:
修改的语法:
创建一个完全参数化的查询,我们需要动态构造 IN 条件的参数名称和值。我们可以通过使用循环来实现这一点:
int[] categoryIDs = ...;
string Name = ...;
SqlCommand comm = ...;
string[] parameters = new string[categoryIDs.Length];
for (int i = 0; i < categoryIDs.Length; i++)
{
parameters[i] = "@p" + i;
comm.Parameters.AddWithValue(parameters[i], categoryIDs[i]);
}
comm.Parameters.AddWithValue("@name", $"%{Name}%");修改的查询文本:
将生成的参数名称连接到 IN 条件:
WHERE Category_ID IN (@p0, @p1, ...)
最终查询文本如下所示:
SELECT * FROM Products WHERE Category_ID IN (@p0, @p1, ...) OR name LIKE @name
这种方法确保每个 CategoryID 均单独参数化,并且 LIKE 条件也使用适当的模式语法参数化。通过完全参数化查询,您可以防止 SQL 注入并提高性能。
以上是如何在 .NET 查询中参数化 LIKE 和 IN 条件?的详细内容。更多信息请关注PHP中文网其他相关文章!
