Pass Array Parameter ใน SqlCommand


144

ฉันกำลังพยายามส่งผ่านพารามิเตอร์อาร์เรย์ไปยัง SQL commnd ใน C # เหมือนด้านล่าง แต่มันไม่ทำงาน ใครเคยพบกันมาก่อนหรือไม่

string sqlCommand = "SELECT * from TableA WHERE Age IN (@Age)";
SqlConnection sqlCon = new SqlConnection(connectString);
SqlCommand sqlComm = new SqlCommand();
sqlComm.Connection = sqlCon;
sqlComm.CommandType = System.Data.CommandType.Text;
sqlComm.CommandText = sqlCommand;
sqlComm.CommandTimeout = 300;
sqlComm.Parameters.Add("@Age", SqlDbType.NVarChar);
StringBuilder sb = new StringBuilder();
foreach (ListItem item in ddlAge.Items)
{
     if (item.Selected)
     {
         sb.Append(item.Text + ",");
     }
}

sqlComm.Parameters["@Age"].Value = sb.ToString().TrimEnd(',');

11
ไม่ใช่หัวข้อจริงๆ แต่สำหรับฉันว่าการมี Age เป็นคอลัมน์ในตารางเป็นความคิดที่ไม่ดีเนื่องจากจะต้องมีการอัปเดตตลอดเวลา ผู้คนมีอายุมากขึ้นใช่ไหม บางทีคุณควรพิจารณามีคอลัมน์ DateOfBirth แทน?
Kjetil Watnedal

คำถามพร้อมคำตอบที่ดีที่นี่: stackoverflow.com/questions/83471/…
Adam Butler

คำตอบ:


169

คุณจะต้องเพิ่มค่าในอาร์เรย์ทีละรายการ

var parameters = new string[items.Length];
var cmd = new SqlCommand();
for (int i = 0; i < items.Length; i++)
{
    parameters[i] = string.Format("@Age{0}", i);
    cmd.Parameters.AddWithValue(parameters[i], items[i]);
}

cmd.CommandText = string.Format("SELECT * from TableA WHERE Age IN ({0})", string.Join(", ", parameters));
cmd.Connection = new SqlConnection(connStr);

UPDATE:ต่อไปนี้เป็นโซลูชันที่ขยายเพิ่มและนำกลับมาใช้ซ้ำได้ซึ่งใช้คำตอบของอดัมพร้อมกับการแก้ไขที่เขาแนะนำ ฉันปรับปรุงมันเล็กน้อยและทำให้เป็นวิธีการต่อเพื่อให้โทรได้ง่ายยิ่งขึ้น

public static class SqlCommandExt
{

    /// <summary>
    /// This will add an array of parameters to a SqlCommand. This is used for an IN statement.
    /// Use the returned value for the IN part of your SQL call. (i.e. SELECT * FROM table WHERE field IN ({paramNameRoot}))
    /// </summary>
    /// <param name="cmd">The SqlCommand object to add parameters to.</param>
    /// <param name="paramNameRoot">What the parameter should be named followed by a unique value for each value. This value surrounded by {} in the CommandText will be replaced.</param>
    /// <param name="values">The array of strings that need to be added as parameters.</param>
    /// <param name="dbType">One of the System.Data.SqlDbType values. If null, determines type based on T.</param>
    /// <param name="size">The maximum size, in bytes, of the data within the column. The default value is inferred from the parameter value.</param>
    public static SqlParameter[] AddArrayParameters<T>(this SqlCommand cmd, string paramNameRoot, IEnumerable<T> values, SqlDbType? dbType = null, int? size = null)
    {
        /* An array cannot be simply added as a parameter to a SqlCommand so we need to loop through things and add it manually. 
         * Each item in the array will end up being it's own SqlParameter so the return value for this must be used as part of the
         * IN statement in the CommandText.
         */
        var parameters = new List<SqlParameter>();
        var parameterNames = new List<string>();
        var paramNbr = 1;
        foreach (var value in values)
        {
            var paramName = string.Format("@{0}{1}", paramNameRoot, paramNbr++);
            parameterNames.Add(paramName);
            SqlParameter p = new SqlParameter(paramName, value);
            if (dbType.HasValue)
                p.SqlDbType = dbType.Value;
            if (size.HasValue)
                p.Size = size.Value;
            cmd.Parameters.Add(p);
            parameters.Add(p);
        }

        cmd.CommandText = cmd.CommandText.Replace("{" + paramNameRoot + "}", string.Join(",", parameterNames));

        return parameters.ToArray();
    }

}

มันถูกเรียกเช่นนี้ ...

var cmd = new SqlCommand("SELECT * FROM TableA WHERE Age IN ({Age})");
cmd.AddArrayParameters("Age", new int[] { 1, 2, 3 });

โปรดสังเกตว่า "{Age}" ในคำสั่ง sql เหมือนกับชื่อพารามิเตอร์ที่เราส่งไปยัง AddArrayParameters AddArrayParameters จะแทนที่ค่าด้วยพารามิเตอร์ที่ถูกต้อง


11
วิธีนี้มีปัญหาด้านความปลอดภัยหรือไม่เช่นการฉีด sql
Yongwei Xing

7
เนื่องจากคุณใส่ค่าลงในพารามิเตอร์จึงไม่มีความเสี่ยงในการฉีด sql
Brian

นี่คือสิ่งที่ฉันกำลังมองหา แต่ฉันมีคำถาม ถ้า OP มีคอลัมน์เดียวกันหลายคอลัมน์เพื่อเพิ่มลงใน SQL เราจะทำอย่างไร ตัวอย่าง. SELECT * จาก TableA WHERE Age = ({0}) หรือ Age = ({1}) (เราจะทำอย่างไรกับ cmd.Parameters)
Cocoa Dev

1
@ T2Tom อ๊ะ ฉันซ่อมมัน. ขอบคุณ
Brian

1
ฉันชอบสิ่งนี้และทำการปรับเปลี่ยนต่อไปนี้หลังจากแยกสตริงตัวยึดไปยังตัวแปร: var paramPlaceholder = "{" & paramNameRoot & "}"; Debug.Assert(cmd.CommandText.Contains(paramPlaceholder), "Parameter Name Root must exist in the Source Query"); สิ่งนี้จะช่วย devs หากพวกเขาลืมจับคู่ paramNameRoot กับแบบสอบถาม
MCattle

37

ฉันต้องการขยายคำตอบที่ไบรอันสนับสนุนเพื่อให้ใช้งานได้ง่ายในที่อื่น

/// <summary>
/// This will add an array of parameters to a SqlCommand. This is used for an IN statement.
/// Use the returned value for the IN part of your SQL call. (i.e. SELECT * FROM table WHERE field IN (returnValue))
/// </summary>
/// <param name="sqlCommand">The SqlCommand object to add parameters to.</param>
/// <param name="array">The array of strings that need to be added as parameters.</param>
/// <param name="paramName">What the parameter should be named.</param>
protected string AddArrayParameters(SqlCommand sqlCommand, string[] array, string paramName)
{
    /* An array cannot be simply added as a parameter to a SqlCommand so we need to loop through things and add it manually. 
     * Each item in the array will end up being it's own SqlParameter so the return value for this must be used as part of the
     * IN statement in the CommandText.
     */
    var parameters = new string[array.Length];
    for (int i = 0; i < array.Length; i++)
    {
        parameters[i] = string.Format("@{0}{1}", paramName, i);
        sqlCommand.Parameters.AddWithValue(parameters[i], array[i]);
    }

    return string.Join(", ", parameters);
}

คุณสามารถใช้ฟังก์ชั่นใหม่นี้ได้ดังนี้:

SqlCommand cmd = new SqlCommand();

string ageParameters = AddArrayParameters(cmd, agesArray, "Age");
sql = string.Format("SELECT * FROM TableA WHERE Age IN ({0})", ageParameters);

cmd.CommandText = sql;


แก้ไข: นี่คือรูปแบบทั่วไปที่ทำงานกับอาร์เรย์ของค่าประเภทใด ๆ และสามารถใช้เป็นวิธีการขยาย:

public static class Extensions
{
    public static void AddArrayParameters<T>(this SqlCommand cmd, string name, IEnumerable<T> values) 
    { 
        name = name.StartsWith("@") ? name : "@" + name;
        var names = string.Join(", ", values.Select((value, i) => { 
            var paramName = name + i; 
            cmd.Parameters.AddWithValue(paramName, value); 
            return paramName; 
        })); 
        cmd.CommandText = cmd.CommandText.Replace(name, names); 
    }
}

จากนั้นคุณสามารถใช้วิธีการขยายนี้ดังนี้:

var ageList = new List<int> { 1, 3, 5, 7, 9, 11 };
var cmd = new SqlCommand();
cmd.CommandText = "SELECT * FROM MyTable WHERE Age IN (@Age)";    
cmd.AddArrayParameters("Age", ageList);

ตรวจสอบให้แน่ใจว่าคุณตั้ง CommandText ก่อนเรียก AddArrayParameters

ตรวจสอบให้แน่ใจด้วยว่าชื่อพารามิเตอร์ของคุณจะไม่ตรงกับสิ่งอื่นใดในคำสั่งของคุณ (เช่น @AgeOfChild)


1
นี่คือรูปแบบทั่วไปที่ทำงานกับอาเรย์ของค่าชนิดใด ๆ และสามารถใช้เป็นวิธีส่วนขยาย: โมฆะคงที่สาธารณะ AddArrayParameters <T> (SqlCommand cmd นี้, ชื่อสตริง, ค่า IEnumerable <T>) {var names = string.Join (",", values.Select ((value, i) => {var paramName = ชื่อ + i; cmd.Parameters.AddWithValue (paramName, ค่า); ส่งกลับ paramName;})); cmd.CommandText = cmd.CommandText.Replace (ชื่อ, ชื่อ); }
Adam Nemitoff

ปัญหาเล็กน้อยของคำตอบนี้คือAddWithValueฟังก์ชั่นโอกาสใดที่คุณสามารถแก้ไขได้?
DavidG

คำตอบนี้ผิดเพราะมีความสามารถในการปรับขนาดและประสิทธิภาพต่ำและส่งเสริมการเข้ารหัสที่ไม่ดี
Igor Levicki

24

หากคุณสามารถใช้เครื่องมือเช่น "dapper" นี่อาจเป็นเพียง:

int[] ages = { 20, 21, 22 }; // could be any common list-like type
var rows = connection.Query<YourType>("SELECT * from TableA WHERE Age IN @ages",
          new { ages }).ToList();

Dapper จะจัดการ unwrapping นี้แต่ละพารามิเตอร์สำหรับคุณ


Dapper ดึงการอ้างอิงจำนวนมาก :(
mlt

@mlt huh ไม่มันไม่; บน netfx: "ไม่มีการอ้างอิง"; ใน ns2.0 เพียงแค่ "System.Reflection.Emit.Lightweight" - และเราอาจลบได้ถ้าเราเพิ่มเป้าหมายของ necroreapp
Marc Gravell

ฉันไม่ได้ตั้งใจจะหักหลังการสนทนา แต่ฉันทำ ... จนถึงตอนนี้ฉันใช้ Npgsql ที่จัดการอาร์เรย์ได้ดีใน'{1,2,3}'ลักษณะอาร์กิวเมนต์ของฟังก์ชัน (ไม่ใช่ WHERE IN clause) แต่ฉันควรใช้ ODBC ธรรมดาถ้าไม่ใช่ รบกวนอาเรย์ ฉันคิดว่าฉันต้องการ Dapper ODBC เช่นกันในกรณีนี้ นี่คือสิ่งที่ต้องการดึง snipboard.io/HU0RpJ.jpg บางทีฉันควรอ่านเพิ่มเติมเกี่ยวกับ Dapper ...
mlt

16

หากคุณใช้ MS SQL Server 2008 ขึ้นไปคุณสามารถใช้พารามิเตอร์ที่มีค่าเป็นตารางตามที่อธิบายไว้ที่นี่ http://www.sommarskog.se/arrays-in-sql-2008.html http://www.sommarskog.se/arrays-in-sql-2008.html

1. สร้างประเภทตารางสำหรับพารามิเตอร์แต่ละประเภทที่คุณจะใช้

คำสั่งต่อไปนี้สร้างประเภทตารางสำหรับจำนวนเต็ม:

create type int32_id_list as table (id int not null primary key)

2. ใช้วิธีการช่วยเหลือ

public static SqlCommand AddParameter<T>(this SqlCommand command, string name, IEnumerable<T> ids)
{
  var parameter = command.CreateParameter();      

  parameter.ParameterName = name;
  parameter.TypeName = typeof(T).Name.ToLowerInvariant() + "_id_list";
  parameter.SqlDbType = SqlDbType.Structured;
  parameter.Direction = ParameterDirection.Input;

  parameter.Value = CreateIdList(ids);

  command.Parameters.Add(parameter);
  return command;
}

private static DataTable CreateIdList<T>(IEnumerable<T> ids)
{
  var table = new DataTable();
  table.Columns.Add("id", typeof (T));

  foreach (var id in ids)
  {
    table.Rows.Add(id);
  }

  return table;
}

3. ใช้มันแบบนี้

cmd.CommandText = "select * from TableA where Age in (select id from @age)"; 
cmd.AddParameter("@age", new [] {1,2,3,4,5});

1
บรรทัดtable.Rows.Add(id);ผลในกลิ่นรหัสเล็กน้อยเมื่อใช้ SonarQube ผมใช้ทางเลือกนี้ภายใน foreach var row = table.NewRow(); row["id"] = id; table.Rows.Add(row);นี้:
pogosama

1
นี่ควรเป็นคำตอบที่ได้รับการยอมรับโดยเฉพาะอย่างยิ่งถ้ามันถูกดัดแปลงเพื่อยอมรับคอลัมน์เพิ่มเติม
Igor Levicki

10

เนื่องจากมีวิธีการใน

SqlCommand.Parameters.AddWithValue(parameterName, value)

มันอาจจะสะดวกกว่าในการสร้างวิธีการยอมรับพารามิเตอร์ (ชื่อ) เพื่อแทนที่และรายการค่า มันไม่ได้อยู่ในระดับพารามิเตอร์ (เช่นAddWithValue ) แต่ในคำสั่งของตัวเองดังนั้นจึงเป็นการดีกว่าที่จะเรียกมันว่าAddParametersWithValuesและไม่ใช่แค่AddWithValues :

แบบสอบถาม:

SELECT * from TableA WHERE Age IN (@age)

การใช้งาน:

sqlCommand.AddParametersWithValues("@age", 1, 2, 3);

วิธีการขยาย:

public static class SqlCommandExtensions
{
    public static void AddParametersWithValues<T>(this SqlCommand cmd,  string parameterName, params T[] values)
    {
        var parameterNames = new List<string>();
        for(int i = 0; i < values.Count(); i++)
        {
            var paramName = @"@param" + i;
            cmd.Parameters.AddWithValue(paramName, values.ElementAt(i));
            parameterNames.Add(paramName);
        }

        cmd.CommandText = cmd.CommandText.Replace(parameterName, string.Join(",", parameterNames));
    }
}

1
ดูเหมือนว่าจะมีการวนซ้ำของวิธีส่วนขยายนี้หลายคำตอบ ฉันใช้อันนี้ แต่ฉันก็ลงคะแนนมัน :-)
แดนฟอร์บ

มันเป็นการดีกว่าที่จะใช้ดัชนีแบบคงที่สำหรับชื่อพารามิเตอร์
shmnff

6

ฉันต้องการเสนอวิธีอื่นวิธีแก้ปัญหาข้อ จำกัด กับตัวดำเนินการ IN

ตัวอย่างเช่นเรามีคำถามต่อไปนี้

select *
from Users U
WHERE U.ID in (@ids)

เราต้องการส่งหลาย ID เพื่อกรองผู้ใช้ น่าเสียดายที่มันไม่สามารถทำได้กับ C # ในวิธีที่ง่าย แต่ฉันมีวิธีแก้ปัญหาสำหรับเรื่องนี้โดยใช้ฟังก์ชั่น "string_split" เราจำเป็นต้องเขียนข้อความค้นหาอีกเล็กน้อยเพื่อติดตาม

declare @ids nvarchar(max) = '1,2,3'

SELECT *
FROM Users as U
CROSS APPLY string_split(@ids, ',') as UIDS
WHERE U.ID = UIDS.value

ตอนนี้เราสามารถผ่านการแจกแจงพารามิเตอร์หนึ่งพารามิเตอร์โดยคั่นด้วยเครื่องหมายจุลภาคได้อย่างง่ายดาย


ดีที่สุดและเป็นวิธีที่สะอาดที่สุดที่ฉันเคยพบมาหากความเข้ากันได้ของคุณเป็นปัจจุบัน
user1040975

4

การส่งอาร์เรย์ของรายการเป็นพารามิเตอร์ที่ยุบไปยังส่วนคำสั่ง WHERE..IN จะล้มเหลวเนื่องจากแบบสอบถามจะใช้รูปแบบของ WHERE Age IN ("11, 13, 14, 16")ที่จะล้มเหลวตั้งแต่แบบสอบถามจะใช้รูปแบบของ

แต่คุณสามารถส่งพารามิเตอร์ของคุณเป็นอาร์เรย์ที่ต่อเนื่องกันเป็น XML หรือ JSON:

ใช้nodes()วิธีการ:

StringBuilder sb = new StringBuilder();

foreach (ListItem item in ddlAge.Items)
  if (item.Selected)
    sb.Append("<age>" + item.Text + "</age>"); // actually it's xml-ish

sqlComm.CommandText = @"SELECT * from TableA WHERE Age IN (
    SELECT Tab.col.value('.', 'int') as Age from @Ages.nodes('/age') as Tab(col))";
sqlComm.Parameters.Add("@Ages", SqlDbType.NVarChar);
sqlComm.Parameters["@Ages"].Value = sb.ToString();

ใช้OPENXMLวิธีการ:

using System.Xml.Linq;
...
XElement xml = new XElement("Ages");

foreach (ListItem item in ddlAge.Items)
  if (item.Selected)
    xml.Add(new XElement("age", item.Text);

sqlComm.CommandText = @"DECLARE @idoc int;
    EXEC sp_xml_preparedocument @idoc OUTPUT, @Ages;
    SELECT * from TableA WHERE Age IN (
    SELECT Age from OPENXML(@idoc, '/Ages/age') with (Age int 'text()')
    EXEC sp_xml_removedocument @idoc";
sqlComm.Parameters.Add("@Ages", SqlDbType.Xml);
sqlComm.Parameters["@Ages"].Value = xml.ToString();

นั่นคืออีกเล็กน้อยในด้าน SQL และคุณต้องการ XML ที่เหมาะสม (กับรูท)

ใช้OPENJSONวิธีการ (SQL Server 2016+):

using Newtonsoft.Json;
...
List<string> ages = new List<string>();

foreach (ListItem item in ddlAge.Items)
  if (item.Selected)
    ages.Add(item.Text);

sqlComm.CommandText = @"SELECT * from TableA WHERE Age IN (
    select value from OPENJSON(@Ages))";
sqlComm.Parameters.Add("@Ages", SqlDbType.NVarChar);
sqlComm.Parameters["@Ages"].Value = JsonConvert.SerializeObject(ages);

โปรดทราบว่าสำหรับวิธีสุดท้ายคุณต้องมีระดับความเข้ากันได้ที่ 130+


0

ภาพรวม: ใช้ DbType เพื่อกำหนดประเภทพารามิเตอร์

var parameter = new SqlParameter();
parameter.ParameterName = "@UserID";
parameter.DbType = DbType.Int32;
parameter.Value = userID.ToString();

var command = conn.CreateCommand()
command.Parameters.Add(parameter);
var reader = await command.ExecuteReaderAsync()

-1

ใช้.AddWithValue()ดังนั้น:

sqlComm.Parameters.AddWithValue("@Age", sb.ToString().TrimEnd(','));

หรือคุณสามารถใช้สิ่งนี้:

sqlComm.Parameters.Add(
    new SqlParameter("@Age", sb.ToString().TrimEnd(',')) { SqlDbType = SqlDbType. NVarChar }
    );

ตัวอย่างรหัสทั้งหมดของคุณจะมีลักษณะดังนี้:

string sqlCommand = "SELECT * from TableA WHERE Age IN (@Age)";
SqlConnection sqlCon = new SqlConnection(connectString);
SqlCommand sqlComm = new SqlCommand();
sqlComm.Connection = sqlCon;
sqlComm.CommandType = System.Data.CommandType.Text;
sqlComm.CommandText = sqlCommand;
sqlComm.CommandTimeout = 300;

StringBuilder sb = new StringBuilder();
foreach (ListItem item in ddlAge.Items)
{
     if (item.Selected)
     {
         sb.Append(item.Text + ",");
     }
}

sqlComm.Parameters.AddWithValue("@Age", sb.ToString().TrimEnd(','));

// OR

// sqlComm.Parameters.Add(new SqlParameter("@Age", sb.ToString().TrimEnd(',')) { SqlDbType = SqlDbType. NVarChar });

ประเภทของเขตข้อมูลอายุคือ nvchar ไม่ได้ใช้ มันสำคัญไหม
Yongwei Xing

มันไม่ควร โดยเฉพาะกับวิธีที่สอง คุณระบุประเภทอย่างชัดเจน
Kyle Rosendo

ฉันใช้ทั้งสองวิธีมันยังไม่ทำงาน ฉันไม่ต้องการจัดการสตริงซึ่งอาจทำให้เกิดปัญหาด้านความปลอดภัย
Yongwei Xing

ฉันไม่เข้าใจคุณจริงๆ เมื่อคุณบอกว่ามันใช้งานไม่ได้มันเป็นข้อยกเว้นหรือไม่? มันทำอะไร?
Kyle Rosendo

1
มันไม่ได้โยนข้อยกเว้นมันไม่ส่งคืนอะไรเลย แต่ฉันเรียกใช้ T-SQL ในการจัดการสตูดิโอมันให้ผลลัพธ์มากมาย
Yongwei Xing

-1

นี่คือคำตอบเล็ก ๆ น้อย ๆ ของ Brian ที่คนอื่นอาจเห็นว่ามีประโยชน์ รับรายการคีย์และวางลงในรายการพารามิเตอร์

//keyList is a List<string>
System.Data.SqlClient.SqlCommand command = new System.Data.SqlClient.SqlCommand();
string sql = "SELECT fieldList FROM dbo.tableName WHERE keyField in (";
int i = 1;
foreach (string key in keyList) {
    sql = sql + "@key" + i + ",";
    command.Parameters.AddWithValue("@key" + i, key);
    i++;
}
sql = sql.TrimEnd(',') + ")";

คำตอบนี้ผิดเพราะมีความสามารถในการปรับขนาดและประสิทธิภาพต่ำและส่งเสริมการเข้ารหัสที่ไม่ดี
Igor Levicki


-5

ลองแบบนี้

StringBuilder sb = new StringBuilder(); 
foreach (ListItem item in ddlAge.Items) 
{ 
     if (item.Selected) 
     { 
          string sqlCommand = "SELECT * from TableA WHERE Age IN (@Age)"; 
          SqlConnection sqlCon = new SqlConnection(connectString); 
          SqlCommand sqlComm = new SqlCommand(); 
          sqlComm.Connection = sqlCon; 
          sqlComm.CommandType = System.Data.CommandType.Text; 
          sqlComm.CommandText = sqlCommand; 
          sqlComm.CommandTimeout = 300; 
          sqlComm.Parameters.Add("@Age", SqlDbType.NVarChar);
          sb.Append(item.Text + ","); 
          sqlComm.Parameters["@Age"].Value = sb.ToString().TrimEnd(',');
     } 
} 

2
ทำไมจึงใส่ SqlConnection และ SqlCommnad ไว้ในลูป?
Yongwei Xing
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.