Sql Server参数化查询之where in和like实现详解

技术Sql Server参数化查询之where in和like实现详解 Sql Server参数化查询之where in和like实现详解GPS平台、网站建设、软件开发、系统运维,找森大网络科技!htt

Sql Server参数化查询实现的详细说明

GPS平台,网站建设,软件开发,系统运维,找森达网络科技!

https://cnsendnet.taobao.com

来自森达科技官方博客

http://www.cnsendblog.com/index.php/p=2046

作为的一个小程,在日常发展中难免要应付于何地和喜欢。在大多数情况下,我们不会传递很多参数。我们只需放上单引号和转义敏感字符,然后直接放入SQL中,执行查询并完成。如果有一天你不可避免地需要提高SQL的查询性能,并且一次需要数百、数千甚至数万条数据,参数化查询将是必然的选择。然而,如何实现类内何处的参数化查询是很多人头疼的问题。

where in 的参数化查询实现

首先说说我们常用的方法,直接拼SQL就能满足需求。

字符串用户标识='1234';

使用(SqlConnection conn=new SqlConnection(connectionString))

{

conn . Open();

SqlCommand comm=new SqlCommand();

通信连接=连接;

comm.CommandText=字符串。格式('从用户(无锁)中选择*其中用户标识在({0})',用户标识);

comm . executionquery();

}

需要参数化查询时的尝试。显然,像这样执行SQL会报告错误。

使用(SqlConnection conn=new SqlConnection(connectionString))

{

conn . Open();

SqlCommand comm=new SqlCommand();

通信连接=连接;

comm.CommandText='从Users(nolock)中选择*其中UserID在(@ UserID)';

comm.Parameters.Add(新的SqlParameter('@UserID ',SqlDbType。VarChar,-1){ Value='1234' });

comm . executionquery();

}

显然,这将报告一个错误:varchar值“1,2,3,4”到数据类型int的转换失败,因为参数类型是string,并且@UserID在where in中将被视为字符串,这相当于实际执行以下语句

从用户(nolock)中选择*其中UserID在(' 1,2,3,4 ')

如果执行的语句是字符串类型的,SQL执行将不会报告错误,当然也不会发现任何结果。

使用(SqlConnection conn=new SqlConnection(connectionString))

{

总裁

nn.Open();

SqlCommand comm = new SqlCommand();

comm.Connection = conn;

comm.CommandText = "select * from Users(nolock) where UserName in(@UserName)";

comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar, -1) { Value = "'john','dudu','rabbit'" });

comm.ExecuteNonQuery();

}

这样不会抱任何错误,也查不出想要的结果,因为这个@UserName被当做一个字符串来处理,实际相当于执行如下语句

select * from Users(nolock) where UserName in('''john'',''dudu'',''rabbit''')

由此相信大家对于为何简单的where in 传参无法得到正确的结果知道为什么了吧,下面我们来看一看如何实现正确的参数化执行where in,为了真正实现参数化where in 传参,很多淫才想到了各种替代方案

方案1,使用CHARINDEXlike 方法实现参数化查询,毫无疑问,这种方法成功了,而且成功的复用了查询计划,但同时也彻底的让查询索引失效(在此不探讨索引话题),造成的后果是全表扫描,如果表里数据量很大,百万级、千万级甚至更多,这样的写法将造成灾难性后果;如果数据量比较小、只想借助参数化实现防止SQL注入的话这样写也无可厚非,还是得看具体需求。(不推荐)

using (SqlConnection conn = new SqlConnection(connectionString))

{

conn.Open();

SqlCommand comm = new SqlCommand();

comm.Connection = conn;

//使用CHARINDEX,实现参数化查询,可以复用查询计划,同时会使索引失效

comm.CommandText = "select * from Users(nolock) where CHARINDEX(','+ltrim(str(UserID))+',',','+@UserID+',')0";

comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" });

comm.ExecuteNonQuery();

}

using (SqlConnection conn = new SqlConnection(connectionString))

{

conn.Open();

SqlCommand comm = new SqlCommand();

comm.Connection = conn;

//使用like,实现参数化查询,可以复用查询计划,同时会使索引失效

comm.CommandText = "select * from Users(nolock) where ','+@UserID+',' like '%,'+ltrim(str(UserID))+',%' ";

comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" });

comm.ExecuteNonQuery();

}

方案2 使用exec动态执行SQL,这样的写法毫无疑问是很成功的,而且代码也比较优雅,也起到了防止SQL注入的作用,看上去很完美,不过这种写法和直接拼SQL执行没啥实质性的区别,查询计划没有得到复用,对于性能提升没任何帮助,颇有种脱了裤子放屁的感觉,但也不失为一种解决方案。(不推荐)

using (SqlConnection conn = new SqlConnection(connectionString))

{

conn.Open();

SqlCommand comm = new SqlCommand();

comm.Connection = conn;

//使用exec动态执行SQL
  //实际执行的查询计划为(@UserIDvarchar(max))select*fromUsers(nolock)whereUserIDin(1,2,3,4)
  //不是预期的(@UserIDvarchar(max))exec('select*fromUsers(nolock)whereUserIDin('+@UserID+')')
comm.CommandText =
"exec('select
* from Users(nolock) where UserID in ('+@UserID+')')";

comm.Parameters.Add(new
SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" });

comm.ExecuteNonQuery();

}

方案3 where in的每一个参数生成一个参数,写法上比较麻烦些,传输的参数个数有限制,最多2100个,可以根据需要使用此方案(推荐)

using
(SqlConnection conn = new SqlConnection(connectionString))

{

conn.Open();

SqlCommand comm = new
SqlCommand();

comm.Connection = conn;

//为每一条数据添加一个参数

comm.CommandText =
"select * from Users(nolock) where
UserID in (@UserID1,@UserId2,@UserID3,@UserID4)";

comm.Parameters.AddRange(

new SqlParameter[]{

new SqlParameter("@UserID1", SqlDbType.Int) {
Value = 1},

new SqlParameter("@UserID2", SqlDbType.Int) {
Value = 2},

new SqlParameter("@UserID3", SqlDbType.Int) {
Value = 3},

new SqlParameter("@UserID4", SqlDbType.Int) {
Value = 4}

});

comm.ExecuteNonQuery();

}

方案4 使用临时表实现(也可以使用表变量性能上可能会更加好些),写法实现上比较繁琐些,可以根据需要写个通用的where in临时表查询的方法,以供不时之需,个人比较推崇这种写法,能够使查询计划得到复用而且对索引也能有效的利用,不过由于需要创建临时表,会带来额外的IO开销,若查询频率很高,每次的数据不多时还是建议使用方案3,若查询数据条数较多,尤其是上千条甚至上万条时,强烈建议使用此方案,可以带来巨大的性能提升(强烈推荐)

using (SqlConnection conn = new SqlConnection(connectionString))

{

conn.Open();

SqlCommand comm = new
SqlCommand();

comm.Connection = conn;

string sql = @"

declare @Temp_Variable varchar(max)

create table #Temp_Table(Item
varchar(max))

while(LEN(@Temp_Array) 0)

begin

if(CHARINDEX(',',@Temp_Array) = 0)

begin

set @Temp_Variable =
@Temp_Array

set @Temp_Array = ''

end

else

begin

set @Temp_Variable =
LEFT(@Temp_Array,CHARINDEX(',',@Temp_Array)-1)

set @Temp_Array =
RIGHT(@Temp_Array,LEN(@Temp_Array)-LEN(@Temp_Variable)-1)

end

insert into #Temp_Table(Item)
values(@Temp_Variable)

end

select * from Users(nolock) where exists(select
1 from #Temp_Table(nolock) where #Temp_Table.Item=Users.UserID)

drop table #Temp_Table";

comm.CommandText = sql;

comm.Parameters.Add(new SqlParameter("@Temp_Array", SqlDbType.VarChar, -1) { Value = "1,2,3,4" });

comm.ExecuteNonQuery();

}

like参数化查询
like查询根据个人习惯将通配符写到参数值中或在SQL拼接都可,两种方法执行效果一样,在此不在详述

using (SqlConnection conn = new SqlConnection(connectionString))

{

conn.Open();

SqlCommand comm = new
SqlCommand();

comm.Connection = conn;

//将 % 写到参数值中

comm.CommandText = "select * from Users(nolock) where UserName like
@UserName";

comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar, 200) {
Value = "rabbit%" });

comm.ExecuteNonQuery();

}

using (SqlConnection conn = new SqlConnection(connectionString))

{

conn.Open();

SqlCommand comm = new
SqlCommand();

comm.Connection = conn;

//SQL中拼接 %

comm.CommandText = "select * from Users(nolock) where UserName like
@UserName+'%'";

comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar, 200) {
Value = "rabbit%" });

comm.ExecuteNonQuery();

}

看到Tom.汤和蚊子额的评论 补充了下xml传参和tvp传参,并对6种方案做了个简单总结

Sql Server参数化查询之where inlike实现之xmlDataTable传参

GPS平台、网站建设、软件开发、系统运维,找森大网络科技!
https://cnsendnet.taobao.com
来自森大科技官方博客
http://www.cnsendblog.com/index.php/p=2046

内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/92790.html

(0)

相关推荐

  • 怎么在Ubuntu 18.04服务器上安装TensorFlow

    技术怎么在Ubuntu 18.04服务器上安装TensorFlow小编给大家分享一下怎么在Ubuntu 18.04服务器上安装TensorFlow,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读

    攻略 2021年11月18日
  • Matplotlib可视化最有价值的图表有哪些

    技术Matplotlib可视化最有价值的图表有哪些这篇文章主要为大家展示了“Matplotlib可视化最有价值的图表有哪些”,内容简而易懂,条理清晰,希望能够帮助大家解决疑惑,下面让小编带领大家一起研究并学习一下“Mat

    攻略 2021年12月8日
  • Python Django项目和应用的创建方法是什么

    技术Python Django项目和应用的创建方法是什么这篇文章主要介绍“Python Django项目和应用的创建方法是什么”,在日常操作中,相信很多人在Python Django项目和应用的创建方法是什么问题上存在疑

    攻略 2021年11月26日
  • html5map标签的用法(html5 map标签)

    技术html5中map标签怎么用小编给大家分享一下html5中map标签怎么用,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!

    攻略 2021年12月17日
  • 删除字符串中所有的空格

    技术删除字符串中所有的空格 删除字符串中所有的空格1 题目函数:fun()
    功能:删除字符串中所有的空格
    举例:
    主函数中输入“fds afadsf adf d dsf 67d”
    则输出:“fds

    礼包 2021年11月10日
  • 七年级上册数学计算题大全,七年级上册数学有理数计算题及答案

    技术七年级上册数学计算题大全,七年级上册数学有理数计算题及答案/tk/showsoft.asp?softid=78603这儿有 [-|98|+76+(-87)]*23[56+(-75)-(7)]-(8+4+3) 5+2

    生活 2021年10月25日