在SqlCommand中传递数组参数

144

我正在尝试将数组参数传递给C#中的SQL commnd,如下所示,但它不起作用。有人见过吗?

string sqlCommand = "SELECT * from TableA WHERE Age IN (@Age)";
SqlConnection sqlCon = new SqlConnection(connectString);
SqlCommand sqlComm = new SqlCommand();
sqlComm.Connection = sqlCon;
sqlComm.CommandType = System.Data.CommandType.Text;
sqlComm.CommandText = sqlCommand;
sqlComm.CommandTimeout = 300;
sqlComm.Parameters.Add("@Age", SqlDbType.NVarChar);
StringBuilder sb = new StringBuilder();
foreach (ListItem item in ddlAge.Items)
{
     if (item.Selected)
     {
         sb.Append(item.Text + ",");
     }
}

sqlComm.Parameters["@Age"].Value = sb.ToString().TrimEnd(',');
c#  tsql 
邢永伟
source
11
并不是真正的话题,但在我看来,将Age作为表中的一列是一个坏主意,因为它将需要不断更新。人们变老了吧?也许您应该考虑改用DateOfBirth列?
Kjetil Watnedal
具有很好的回答这里的问题:stackoverflow.com/questions/83471/...
亚当巴特勒

Answers:

168

您将需要一次将一个值添加到数组中。

var parameters = new string[items.Length];
var cmd = new SqlCommand();
for (int i = 0; i < items.Length; i++)
{
    parameters[i] = string.Format("@Age{0}", i);
    cmd.Parameters.AddWithValue(parameters[i], items[i]);
}

cmd.CommandText = string.Format("SELECT * from TableA WHERE Age IN ({0})", string.Join(", ", parameters));
cmd.Connection = new SqlConnection(connStr);

更新:这是一个扩展且可重用的解决方案,该解决方案使用了Adam的答案及其建议的编辑方式。我对其进行了一些改进,并使其成为一种扩展方法,使其更易于调用。

public static class SqlCommandExt
{

    /// <summary>
    /// This will add an array of parameters to a SqlCommand. This is used for an IN statement.
    /// Use the returned value for the IN part of your SQL call. (i.e. SELECT * FROM table WHERE field IN ({paramNameRoot}))
    /// </summary>
    /// <param name="cmd">The SqlCommand object to add parameters to.</param>
    /// <param name="paramNameRoot">What the parameter should be named followed by a unique value for each value. This value surrounded by {} in the CommandText will be replaced.</param>
    /// <param name="values">The array of strings that need to be added as parameters.</param>
    /// <param name="dbType">One of the System.Data.SqlDbType values. If null, determines type based on T.</param>
    /// <param name="size">The maximum size, in bytes, of the data within the column. The default value is inferred from the parameter value.</param>
    public static SqlParameter[] AddArrayParameters<T>(this SqlCommand cmd, string paramNameRoot, IEnumerable<T> values, SqlDbType? dbType = null, int? size = null)
    {
        /* An array cannot be simply added as a parameter to a SqlCommand so we need to loop through things and add it manually. 
         * Each item in the array will end up being it's own SqlParameter so the return value for this must be used as part of the
         * IN statement in the CommandText.
         */
        var parameters = new List<SqlParameter>();
        var parameterNames = new List<string>();
        var paramNbr = 1;
        foreach (var value in values)
        {
            var paramName = string.Format("@{0}{1}", paramNameRoot, paramNbr++);
            parameterNames.Add(paramName);
            SqlParameter p = new SqlParameter(paramName, value);
            if (dbType.HasValue)
                p.SqlDbType = dbType.Value;
            if (size.HasValue)
                p.Size = size.Value;
            cmd.Parameters.Add(p);
            parameters.Add(p);
        }

        cmd.CommandText = cmd.CommandText.Replace("{" + paramNameRoot + "}", string.Join(",", parameterNames));

        return parameters.ToArray();
    }

}

像这样

var cmd = new SqlCommand("SELECT * FROM TableA WHERE Age IN ({Age})");
cmd.AddArrayParameters("Age", new int[] { 1, 2, 3 });

请注意,sql语句中的“ {Age}”与我们要发送给AddArrayParameters的参数名称相同。AddArrayParameters将用正确的参数替换该值。

布赖恩
source
11
此方法是否存在安全问题,例如sql注入?
雍永兴2010年
7
因为您将值放入参数中,所以没有SQL注入的风险。
Brian
这是我一直在寻找的,但是我有一个问题。如果OP具有多个要添加到SQL的相同列,我们将如何做?例。从表A中选择* WHERE年龄=({0})或年龄=({1})。(我们将如何使用cmd.Parameters执行此操作)
Cocoa Dev
1
@ T2Tom,哎呀。我修好了它。谢谢。
布赖恩
1
我喜欢这样,并且仅在将占位符字符串提取到变量之后才进行以下修改:var paramPlaceholder = "{" & paramNameRoot & "}"; Debug.Assert(cmd.CommandText.Contains(paramPlaceholder), "Parameter Name Root must exist in the Source Query"); 如果开发人员忘记将paramNameRoot与查询匹配,这将对开发人员有所帮助。
MCattle
37

我想扩展一下Brian为使此功能易于在其他地方使用而做出的贡献。

/// <summary>
/// This will add an array of parameters to a SqlCommand. This is used for an IN statement.
/// Use the returned value for the IN part of your SQL call. (i.e. SELECT * FROM table WHERE field IN (returnValue))
/// </summary>
/// <param name="sqlCommand">The SqlCommand object to add parameters to.</param>
/// <param name="array">The array of strings that need to be added as parameters.</param>
/// <param name="paramName">What the parameter should be named.</param>
protected string AddArrayParameters(SqlCommand sqlCommand, string[] array, string paramName)
{
    /* An array cannot be simply added as a parameter to a SqlCommand so we need to loop through things and add it manually. 
     * Each item in the array will end up being it's own SqlParameter so the return value for this must be used as part of the
     * IN statement in the CommandText.
     */
    var parameters = new string[array.Length];
    for (int i = 0; i < array.Length; i++)
    {
        parameters[i] = string.Format("@{0}{1}", paramName, i);
        sqlCommand.Parameters.AddWithValue(parameters[i], array[i]);
    }

    return string.Join(", ", parameters);
}

您可以按以下方式使用此新功能:

SqlCommand cmd = new SqlCommand();

string ageParameters = AddArrayParameters(cmd, agesArray, "Age");
sql = string.Format("SELECT * FROM TableA WHERE Age IN ({0})", ageParameters);

cmd.CommandText = sql;

编辑:这是一个通用变体,可与任何类型的值数组一起使用,并且可用作扩展方法: 

public static class Extensions
{
    public static void AddArrayParameters<T>(this SqlCommand cmd, string name, IEnumerable<T> values) 
    { 
        name = name.StartsWith("@") ? name : "@" + name;
        var names = string.Join(", ", values.Select((value, i) => { 
            var paramName = name + i; 
            cmd.Parameters.AddWithValue(paramName, value); 
            return paramName; 
        })); 
        cmd.CommandText = cmd.CommandText.Replace(name, names); 
    }
}

然后,您可以按以下方式使用此扩展方法: 

var ageList = new List<int> { 1, 3, 5, 7, 9, 11 };
var cmd = new SqlCommand();
cmd.CommandText = "SELECT * FROM MyTable WHERE Age IN (@Age)";    
cmd.AddArrayParameters("Age", ageList);

确保在调用AddArrayParameters之前设置CommandText。

还要确保您的参数名称不会部分匹配语句中的其他任何内容(例如,@ AgeOfChild)

亚当·罗杰斯(J Adam Rogers)
source
1
这是一个通用变体,可与任何类型的值数组一起使用并可用作扩展方法:public static void AddArrayParameters <T>(此SqlCommand cmd,字符串名称,IEnumerable <T>值){var名称= string.Join (“,”,values.Select((value,i)=> {var paramName = name + i; cmd.Parameters.AddWithValue(paramName,value); return paramName;}))); cmd.CommandText = cmd.CommandText.Replace(名称,名称); }
Adam Nemitoff 2014年
这个答案的次要问题是AddWithValue功能,您有什么机会可以解决?
DavidG '18年
这个答案是错误的,因为它的可伸缩性和性能差,并且会促进不良的编码实践。
Igor Levicki
24

如果您可以使用“ dapper”之类的工具,则可以很简单:

int[] ages = { 20, 21, 22 }; // could be any common list-like type
var rows = connection.Query<YourType>("SELECT * from TableA WHERE Age IN @ages",
          new { ages }).ToList();

Dapper将为您处理将其解包装为单个参数的过程

马克·Gravell
source
小巧的人
@mlt是吗?不,不是;在netfx上:“没有依赖项”;在ns2.0上,只是“ System.Reflection.Emit.Lightweight”-如果我们添加了necroreapp目标,我们可能会删除它
Marc Gravell
我并不是故意要劫持讨论,但是我确实做到了……到目前为止,我使用Npgsql可以像处理'{1,2,3}'函数的样式参数一样处理数组(不是WHERE IN子句),但是我宁愿使用普通的ODBC(如果没有)阵列麻烦。我想在这种情况下,我也需要Dapper ODBC。这就是它想要拉的东西。snipboard.io/HU0RpJ.jpg。也许我应该在Dapper上阅读更多...
mlt
16

如果您使用的是MS SQL Server 2008及更高版本,则可以使用表值参数,如 http://www.sommarskog.se/arrays-in-sql-2008.html中所述

1.为要使用的每种参数类型创建一个表类型

以下命令为整数创建表类型:

create type int32_id_list as table (id int not null primary key)

2.实施辅助方法

public static SqlCommand AddParameter<T>(this SqlCommand command, string name, IEnumerable<T> ids)
{
  var parameter = command.CreateParameter();      

  parameter.ParameterName = name;
  parameter.TypeName = typeof(T).Name.ToLowerInvariant() + "_id_list";
  parameter.SqlDbType = SqlDbType.Structured;
  parameter.Direction = ParameterDirection.Input;

  parameter.Value = CreateIdList(ids);

  command.Parameters.Add(parameter);
  return command;
}

private static DataTable CreateIdList<T>(IEnumerable<T> ids)
{
  var table = new DataTable();
  table.Columns.Add("id", typeof (T));

  foreach (var id in ids)
  {
    table.Rows.Add(id);
  }

  return table;
}

3.像这样使用

cmd.CommandText = "select * from TableA where Age in (select id from @age)"; 
cmd.AddParameter("@age", new [] {1,2,3,4,5});
格雷戈尔·斯拉韦克(Gregor Slavec)
source
1
使用SonarQube时,该行table.Rows.Add(id);导致轻微的代码异味。我在foreach中使用了这种替代方法:var row = table.NewRow(); row["id"] = id; table.Rows.Add(row);
pogosama
1
这应该是可以接受的答案,尤其是当它被修改为可以接受更多列时。
Igor Levicki
10

由于有一种方法

SqlCommand.Parameters.AddWithValue(parameterName, value)

创建接受要替换的参数(名称)和值列表的方法可能更方便。它不是在Parameters级别上(例如AddWithValue),而是在命令本身上,因此最好将其称为AddParametersWithValues,而不仅仅是AddWithValues

查询:

SELECT * from TableA WHERE Age IN (@age)

用法:

sqlCommand.AddParametersWithValues("@age", 1, 2, 3);

扩展方法:

public static class SqlCommandExtensions
{
    public static void AddParametersWithValues<T>(this SqlCommand cmd,  string parameterName, params T[] values)
    {
        var parameterNames = new List<string>();
        for(int i = 0; i < values.Count(); i++)
        {
            var paramName = @"@param" + i;
            cmd.Parameters.AddWithValue(paramName, values.ElementAt(i));
            parameterNames.Add(paramName);
        }

        cmd.CommandText = cmd.CommandText.Replace(parameterName, string.Join(",", parameterNames));
    }
}
特里迪
source
1
似乎此扩展方法的多个迭代存在于多个答案中。不过,我使用了这个,所以我对其进行投票:-)
Dan Forbes
最好为参数名称使用静态索引
shmnff
6

我想提出另一种方法,如何用IN运算符解决限制。

例如我们有以下查询

select *
from Users U
WHERE U.ID in (@ids)

我们想传递几个ID来过滤用户。不幸的是,不可能以简单的方式使用C#。但是我有使用“ string_split”功能的解决方法。我们需要重新编写以下查询。

declare @ids nvarchar(max) = '1,2,3'

SELECT *
FROM Users as U
CROSS APPLY string_split(@ids, ',') as UIDS
WHERE U.ID = UIDS.value

现在,我们可以轻松地传递一个用逗号分隔的值的参数枚举。

用户名
source
如果您的兼容性是最新的,那么这是我找到的最好,最干净的方法。
user1040975
4

将项目数组作为折叠参数传递给WHERE..IN子句将失败,因为查询将采用的形式WHERE Age IN ("11, 13, 14, 16")

但是您可以将参数作为序列化为XML或JSON的数组传递:

使用nodes()方法:

StringBuilder sb = new StringBuilder();

foreach (ListItem item in ddlAge.Items)
  if (item.Selected)
    sb.Append("<age>" + item.Text + "</age>"); // actually it's xml-ish

sqlComm.CommandText = @"SELECT * from TableA WHERE Age IN (
    SELECT Tab.col.value('.', 'int') as Age from @Ages.nodes('/age') as Tab(col))";
sqlComm.Parameters.Add("@Ages", SqlDbType.NVarChar);
sqlComm.Parameters["@Ages"].Value = sb.ToString();

使用OPENXML方法:

using System.Xml.Linq;
...
XElement xml = new XElement("Ages");

foreach (ListItem item in ddlAge.Items)
  if (item.Selected)
    xml.Add(new XElement("age", item.Text);

sqlComm.CommandText = @"DECLARE @idoc int;
    EXEC sp_xml_preparedocument @idoc OUTPUT, @Ages;
    SELECT * from TableA WHERE Age IN (
    SELECT Age from OPENXML(@idoc, '/Ages/age') with (Age int 'text()')
    EXEC sp_xml_removedocument @idoc";
sqlComm.Parameters.Add("@Ages", SqlDbType.Xml);
sqlComm.Parameters["@Ages"].Value = xml.ToString();

在SQL方面要多一些,您需要一个适当的XML(带有root)。

使用OPENJSON方法(SQL Server 2016+):

using Newtonsoft.Json;
...
List<string> ages = new List<string>();

foreach (ListItem item in ddlAge.Items)
  if (item.Selected)
    ages.Add(item.Text);

sqlComm.CommandText = @"SELECT * from TableA WHERE Age IN (
    select value from OPENJSON(@Ages))";
sqlComm.Parameters.Add("@Ages", SqlDbType.NVarChar);
sqlComm.Parameters["@Ages"].Value = JsonConvert.SerializeObject(ages);

请注意,对于最后一种方法,您还需要具有130+的兼容级别。

卢卡斯·马蒂西亚克(Lukasz Matysiak)
source
0

概述:使用DbType设置参数类型。

var parameter = new SqlParameter();
parameter.ParameterName = "@UserID";
parameter.DbType = DbType.Int32;
parameter.Value = userID.ToString();

var command = conn.CreateCommand()
command.Parameters.Add(parameter);
var reader = await command.ExecuteReaderAsync()
金狮
source
-1

使用.AddWithValue(),所以:

sqlComm.Parameters.AddWithValue("@Age", sb.ToString().TrimEnd(','));

或者,您可以使用以下方法:

sqlComm.Parameters.Add(
    new SqlParameter("@Age", sb.ToString().TrimEnd(',')) { SqlDbType = SqlDbType. NVarChar }
    );

然后,您的总代码示例将如下所示:

string sqlCommand = "SELECT * from TableA WHERE Age IN (@Age)";
SqlConnection sqlCon = new SqlConnection(connectString);
SqlCommand sqlComm = new SqlCommand();
sqlComm.Connection = sqlCon;
sqlComm.CommandType = System.Data.CommandType.Text;
sqlComm.CommandText = sqlCommand;
sqlComm.CommandTimeout = 300;

StringBuilder sb = new StringBuilder();
foreach (ListItem item in ddlAge.Items)
{
     if (item.Selected)
     {
         sb.Append(item.Text + ",");
     }
}

sqlComm.Parameters.AddWithValue("@Age", sb.ToString().TrimEnd(','));

// OR

// sqlComm.Parameters.Add(new SqlParameter("@Age", sb.ToString().TrimEnd(',')) { SqlDbType = SqlDbType. NVarChar });
凯尔·罗森多(Kyle Rosendo)
source
年龄字段的类型为nvchar not int。有关系吗?
永伟行
不应该这样 特别是第二种方法。您可以明确指定类型。
凯尔·罗森多
我同时使用两种方法,但仍然无法使用。我不想操纵这可能导致安全问题的串
永威星
我不是很了解你 当您说它不起作用时,是否会引发异常?它有什么作用?
凯尔·罗森多
1
它不会抛出异常,它什么也不返回。但是我在Studio Management中运行T-SQL,它返回许多结果。
永伟行
-1

这是Brian回答的一个较小变体,其他人可能会觉得有用。获取键列表,并将其放入参数列表。

//keyList is a List<string>
System.Data.SqlClient.SqlCommand command = new System.Data.SqlClient.SqlCommand();
string sql = "SELECT fieldList FROM dbo.tableName WHERE keyField in (";
int i = 1;
foreach (string key in keyList) {
    sql = sql + "@key" + i + ",";
    command.Parameters.AddWithValue("@key" + i, key);
    i++;
}
sql = sql.TrimEnd(',') + ")";
杰夫
source
这个答案是错误的,因为它的可伸缩性和性能差,并且会促进不良的编码实践。
Igor Levicki
-3

尝试 

sqlComm.Parameters["@Age"].Value = sb.ToString().Replace(","," ");
巴林
source
-5

这样尝试

StringBuilder sb = new StringBuilder(); 
foreach (ListItem item in ddlAge.Items) 
{ 
     if (item.Selected) 
     { 
          string sqlCommand = "SELECT * from TableA WHERE Age IN (@Age)"; 
          SqlConnection sqlCon = new SqlConnection(connectString); 
          SqlCommand sqlComm = new SqlCommand(); 
          sqlComm.Connection = sqlCon; 
          sqlComm.CommandType = System.Data.CommandType.Text; 
          sqlComm.CommandText = sqlCommand; 
          sqlComm.CommandTimeout = 300; 
          sqlComm.Parameters.Add("@Age", SqlDbType.NVarChar);
          sb.Append(item.Text + ","); 
          sqlComm.Parameters["@Age"].Value = sb.ToString().TrimEnd(',');
     } 
}
巴林
source
2
为什么要将SqlConnection和SqlCommnad放入循环中?
永用兴
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.