Wie parametrisiere ich LIKE- und IN-Bedingungen in .NET-Abfragen?

Parametrisierte Abfragen mit LIKE- und IN-Bedingungen

Parametrisierte Abfragen in .Net beinhalten normalerweise die Verwendung bestimmter Parameternamen und das Hinzufügen von Werten zu diesen Parametern. Wenn es jedoch um Bedingungen wie IN oder LIKE geht, die möglicherweise mehrere oder dynamische Parameterwerte erfordern, kann die Syntax komplexer werden.

Lassen Sie uns auf das Spezifische eingehen Frage:

Abfrage:

SELECT * 
FROM Products 
WHERE Category_ID IN (@categoryids) 
OR name LIKE '%@name%'

Parameter:

• Kategorie-IDs: Eine durch Kommas getrennte Liste von Zahlen ohne Anführungszeichen.
• Name: Eine Zeichenfolge, die Sonderzeichen enthalten kann.

Geänderte Syntax:

Zu erstellen Bei einer vollständig parametrisierten Abfrage müssen wir die Parameternamen und -werte für die IN-Bedingung dynamisch erstellen. Wir können dies erreichen, indem wir eine Schleife verwenden:

int[] categoryIDs = ...;
string Name = ...;

SqlCommand comm = ...;

string[] parameters = new string[categoryIDs.Length];
for (int i = 0; i < categoryIDs.Length; i++)
{
    parameters[i] = "@p" + i;
    comm.Parameters.AddWithValue(parameters[i], categoryIDs[i]);
}
comm.Parameters.AddWithValue("@name", $"%{Name}%");

Geänderter Abfragetext:

Verketten Sie die generierten Parameternamen in der IN-Bedingung:

WHERE Category_ID IN (@p0, @p1, ...)

Der endgültige Abfragetext würde wie folgt aussehen:

SELECT * 
FROM Products 
WHERE Category_ID IN (@p0, @p1, ...) 
OR name LIKE @name

Dieser Ansatz stellt sicher, dass jede CategoryID einzeln parametrisiert wird und dass die LIKE-Bedingung auch mit der entsprechenden Mustersyntax parametrisiert ist. Durch die vollständige Parametrisierung der Abfrage verhindern Sie SQL-Injection und verbessern die Leistung.

Das obige ist der detaillierte Inhalt vonWie parametrisiere ich LIKE- und IN-Bedingungen in .NET-Abfragen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!