動態Linq創建

Question

我正在重寫爲響應用戶輸入到文本字段而創建的查詢，以便爲SQL注入攻擊提供一些保護。

SELECT DISTINCT (FileNameID) FROM SurNames WHERE Surname IN 
('Jones','Smith','Armitage') 
AND FileNameID IN (SELECT DISTINCT (FileNameID) FROM FirstNames WHERE FirstName 
IN ('John','William')) 

在這個過程中最多可以涉及3個其他表。 參數列表最多可以有50-100個條目，因此構建參數化查詢非常繁瑣和麻煩。

我想創建一個Linq查詢，它應該照顧參數化並提供我需要的保護。

這給了我什麼，我需要

var surnameValues = new[] { "Jones","Smith","Armitage" }; 
    var firstnameValues = new[] { "John","William" }; 

    var result = (from sn in db.Surnames 
       from fn in db.FirstNames 
       where surnameValues.Contains(sn.Surname) && 
       firstnameValues.Contains(fn.FirstName) 
       select fn.FileNameID).Distinct().ToArray(); 

我現在需要一種方法來動態創建這個取決於用戶是否選擇/輸入值的姓氏或名字文本輸入框？

任何指針將受到歡迎

感謝 羅傑

Answer 1

你可以所有的邏輯合併到查詢;

var surnameValues = new[] { "Jones","Smith","Armitage" }; 
var firstnameValues = null; 

// Set these two variables to handle null values and use an empty array instead 
var surnameCheck= surnameValues ?? new string[0]; 
var firstnameCheck= firstnameValus ?? new string[0]; 

var result = (from sn in db.Surnames 
      from fn in db.FirstNames 
      where 
      (!surnameCheck.Any() || surnameCheck.Contains(sn.Surname)) && 
      (!firstnameCheck.Any() || firstnameCheck.Contains(fn.FirstName)) 
      select fn.FileNameID).Distinct().ToArray(); 

您的查詢似乎沒有Surnames表和firstName表之間的連接條件？

你可以動態生成查詢（如你似乎做我CROSS JOIN我用SelectMany）

var query=db.Surnames.SelectMany(sn=>db.FirstNames.Select (fn => new {fn=fn,sn=sn})); 
if (surnameValues!=null && surnameValues.Any()) query=query.Where(x=>surnameValues.Contains(x.sn.Surname)); 
if (firstnameValues !=null && firstnameValues.Any()) query=query.Where(x=>firstnameValues.Contains(x.fn.FirstName)); 
var result=query.Select(x=>x.fn.FileNameID).Distinct();