通過C＃中的參數在SqlCommand中的字符串列表

Question

在C＃中使用SqlCommand我在where子句中創建了一個包含IN（list ...）部分的查詢。而不是遍歷我的字符串列表生成我需要的查詢列表（如果你認爲在sqlInjection中是危險的）。我想，像我可以創建一個參數：

SELECT blahblahblah WHERE blahblahblah IN @LISTOFWORDS 

然後在代碼中，我嘗試添加一個參數是這樣的：

DataTable dt = new DataTable(); 
dt.Columns.Add("word", typeof(string)); 
foreach (String word in listOfWords) 
{ 
    dt.Rows.Add(word); 
} 
comm.Parameters.Add("LISTOFWORDS", System.Data.SqlDbType.Structured).Value = dt; 

但是，這是行不通的。

問題：

• 我豈是不可能辦到的事？
• 我採取了錯誤的方法？
• 我在這種方法中有錯誤嗎？

感謝您的時間:)

Answer 1

你正在嘗試做什麼是可能的，但不能使用你目前的方法。 SQL Server 2008之前的所有可能的解決方案都存在與性能，安全性和內存使用相關的折衷問題，這是一個非常普遍的問題。

This link shows some approaches for SQL Server 2000/2005

SQL Server 2008 supports passing a table value parameter.

我希望這有助於。

Answer 2

你要考慮其中該名單從何而來。通常這些信息在某個地方存在於數據庫中。例如，而不是這樣的：

SELECT * FROM [Table] WHERE ID IN (1,2,3) 

你可以使用一個子查詢是這樣的：

SELECT * FROM [Table] WHERE ID IN (SELECT TableID FROM [OtherTable] WHERE OtherTableID= @OtherTableID) 

Answer 3

我會建議將參數設置爲一個逗號分隔值的字符串，並使用Split函數在SQL中將其轉換爲值的單列表格，然後您可以使用IN功能。

http://www.sqlteam.com/forums/topic.asp?TOPIC_ID=50648 - 斯普利特功能

Answer 4

如果我理解正確的，你想傳遞一個列表作爲SQL參數。

有些人已經取得有限的成功嘗試過這樣的：

Passing Arrays to Stored Procedures

Arrays and Lists in SQL 2005

Passing Array of Values to SQL Server without String Manipulation

Using MS SQL 2005's XML capabilities to pass a list of values to a command

Answer 5

如果你想通過列表作爲一個字符串參數，您可以動態構建查詢。

DECLARE @query VARCHAR（500） SET @query = 'SELECT等等等等WHERE blahblah在（' + @list + '）' EXECUTE（@query）

Answer 6

我曾經有同樣的問題，我認爲現在有辦法直接通過ADO.NET API執行此操作。

您可能會考慮將單詞插入到一個臨時表（加上一個queryid或其他東西），然後從查詢中引用該臨時表。或者動態創建查詢字符串，並避免通過其他度量（例如正則表達式檢查）進行sql注入。

Answer 7

• 我想嘗試一些不可能的事情嗎？

不，這不是不可能的。

• 我採取了錯誤的做法？

你的做法是不工作（至少在.NET 2）

• 我必須在這個方法的錯誤呢？

我會嘗試「Joel Coehoorn」解決方案（第二次答案），如果有可能的話。 否則，另一種選擇是發送一個「字符串」參數，其中包含由分隔符分隔的所有值。編寫一個動態查詢（基於字符串中的值構建它）並使用「exec」執行它。

另一個解決方案將是直接從代碼構建查詢。財產以後這樣的：

StringBuilder sb = new StringBuilder(); 
for (int i=0; i< listOfWords.Count; i++) 
{ 
    sb.AppendFormat("p{0},",i); 
    comm.Parameters.AddWithValue("p"+i.ToString(), listOfWords[i]); 
} 

comm.CommandText = string.Format(""SELECT blahblahblah WHERE blahblahblah IN ({0})", 
sb.ToString().TrimEnd(',')); 

的命令應該是：

SELECT blah WHERE blah IN (p0,p1,p2,p3...)...p0='aaa',p1='bbb' 

在MSSQL2005， 「IN」 與256個值僅工作。

Answer 8

這是一個老問題，但我想出了一個優雅的解決方案，我喜歡重複使用，我想其他人都會發現它很有用。

首先，您需要在SqlServer中創建一個FUNCTION，它接受一個分隔輸入並返回一個表項，並將其分成記錄。

以下是此下面的代碼：

ALTER FUNCTION [dbo].[Split] 
(
    @RowData nvarchar(max), 
    @SplitOn nvarchar(5) = ',' 
) 
RETURNS @RtnValue table 
(
    Id int identity(1,1), 
    Data nvarchar(100) 
) 
AS 
BEGIN 
    Declare @Cnt int 
    Set @Cnt = 1 

    While (Charindex(@SplitOn,@RowData)>0) 
    Begin 
     Insert Into @RtnValue (data) 
     Select 
      Data = ltrim(rtrim(Substring(@RowData,1,Charindex(@SplitOn,@RowData)-1))) 

     Set @RowData = Substring(@RowData,Charindex(@SplitOn,@RowData)+1,len(@RowData)) 
     Set @Cnt = @Cnt + 1 
    End 

    Insert Into @RtnValue (data) 
    Select Data = ltrim(rtrim(@RowData)) 

    Return 
END 

你現在可以做這樣的事情：

Select Id, Data from dbo.Split('123,234,345,456',',') 

並不懼怕，這不可能是容易受到SQL注入攻擊。

接下來寫一個存儲過程，需要以逗號分隔的數據，然後你可以寫一個使用這種分割功能的SQL語句：

CREATE PROCEDURE [dbo].[findDuplicates] 
    @ids nvarchar(max) 
as 
begin 
    select ID 
     from SomeTable with (nolock) 
    where ID in (select Data from dbo.Split(@ids,',')) 
end 

現在，你可以寫一個C＃包裝周圍：

public void SomeFunction(List<int> ids) 
{ 
    var idsAsDelimitedString = string.Join(",", ids.Select(id => id.ToString()).ToArray()); 

    // ... or however you make your connection 
    var con = GetConnection(); 

    try 
    { 
     con.Open(); 

     var cmd = new SqlCommand("findDuplicates", con); 

     cmd.Parameters.Add(new SqlParameter("@ids", idsAsDelimitedString)); 

     var reader = cmd.ExecuteReader(); 

     // .... do something here. 

    } 
    catch (Exception) 
    { 
     // catch an exception? 
    } 
    finally 
    { 
     con.Close(); 
    } 
}