Comment paramétrer les conditions LIKE et IN dans les requêtes .NET ?

Requêtes paramétrées avec des conditions LIKE et IN

Les requêtes paramétrées dans .Net impliquent généralement l'utilisation de noms de paramètres spécifiques et l'ajout de valeurs à ces paramètres. Cependant, lorsqu'il s'agit de conditions telles que IN ou LIKE, qui peuvent nécessiter des valeurs de paramètres multiples ou dynamiques, la syntaxe peut devenir plus complexe.

Abordons les problèmes spécifiques. question :

Requête :

SELECT * 
FROM Products 
WHERE Category_ID IN (@categoryids) 
OR name LIKE '%@name%'

Paramètres :

• ID de catégorie : Une liste de nombres séparés par des virgules sans guillemets.
• Nom : Une chaîne pouvant contenir des caractères spéciaux.

Syntaxe modifiée :

Pour créer une requête entièrement paramétrée, nous devons construire dynamiquement les noms et les valeurs des paramètres pour la condition IN. Nous pouvons y parvenir en utilisant une boucle :

int[] categoryIDs = ...;
string Name = ...;

SqlCommand comm = ...;

string[] parameters = new string[categoryIDs.Length];
for (int i = 0; i < categoryIDs.Length; i++)
{
    parameters[i] = "@p" + i;
    comm.Parameters.AddWithValue(parameters[i], categoryIDs[i]);
}
comm.Parameters.AddWithValue("@name", $"%{Name}%");

Texte de requête modifié :

Concaténer les noms de paramètres générés dans la condition IN :

WHERE Category_ID IN (@p0, @p1, ...)

Le texte final de la requête ressemblerait à :

SELECT * 
FROM Products 
WHERE Category_ID IN (@p0, @p1, ...) 
OR name LIKE @name

Cette approche garantit que chaque CategoryID est paramétré individuellement et que la condition LIKE est également paramétrée avec la syntaxe de modèle appropriée. En paramétrant entièrement la requête, vous évitez l'injection SQL et améliorez les performances.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!