Sql Server参数化查询之where in与like实现详解.docVIP

Sql Server参数化查询之where in与like实现详解 身为一名小小的程序猿，在日常开发中不可以避免的要与where in与like打交道，在大多数情况下我们传的参数不多简单做下单引号、敏感字符转义之后就直接拼进了SQL，执行查询，搞定。若有一天你不可避免的需要提高SQL的查询性能，需要一次性where in 几百、上千、甚至上万条数据时，参数化查询将是必然进行的选择。然而如何实现where in与like的参数化查询，是个让不少人头疼的问题。 where in 的参数化查询实现 首先说一下我们常用的办法，直接拼SQL实现，一般情况下都能满足需要 string userIds = 1,2,3,4; using (SqlConnection conn = new SqlConnection(connectionString)) { conn.Open(); SqlCommand comm = new SqlCommand(); comm.Connection = conn; comm.CommandText = string.Format(select * from Users(nolock) where UserID in({0}), userIds); comm.ExecuteNonQuery(); } 需要参数化查询时进行的尝试，很显然如下这样执行SQL会报错错误 using (SqlConnection conn = new SqlConnection(connectionString)) { conn.Open(); SqlCommand comm = new SqlCommand(); comm.Connection = conn; comm.CommandText = select * from Users(nolock) where UserID in(@UserID); comm.Parameters.Add(new SqlParameter(@UserID, SqlDbType.VarChar, -1) { Value = 1,2,3,4 }); comm.ExecuteNonQuery(); } 很显然这样会报错误：在将 varchar 值 1,2,3,4 转换成数据类型 int 时失败，因为参数类型为字符串，where in时会把@UserID当做一个字符串来处理，相当于实际执行了如下语句 select * from Users(nolock) where UserID in(1,2,3,4) 若执行的语句为字符串类型的，SQL执行不会报错，当然也不会查询出任何结果 using (SqlConnection conn = new SqlConnection(connectionString)) { conn.Open(); SqlCommand comm = new SqlCommand(); comm.Connection = conn; comm.CommandText = select * from Users(nolock) where UserName in(@UserName); comm.Parameters.Add(new SqlParameter(@UserName, SqlDbType.VarChar, -1) { Value = john,dudu,rabbit }); comm.ExecuteNonQuery(); } 这样不会抱任何错误，也查不出想要的结果，因为这个@UserName被当做一个字符串来处理，实际相当于执行如下语句 select * from Users(nolock) where UserName in(john,dudu,rabbit) 由此相信大家对于为何简单的where in 传参无法得到正确的结果知道为什么了吧，下面我们来看一看如何实现正确的参数化执行where in，为了真正实现参数化where in 传参，很多淫才想到了各种替代方案 方案1，使用CHARINDEX或like 方法实现参数化查询，毫无疑问，这种方法成功了，而且成功的复用了查询计划，但同时也彻底的让查询索引失效(在此不探讨索引话题)，造成的后果是全表扫描，如果表里数据量很大，百万级、千万级甚至更多，这样的写法将造成灾难性后果；如果数据量比较小、只想借助参数化实现防止SQL注入的话这样写也无可厚非，还是得看具体需求。(不推荐) using (SqlConnection conn = new SqlConnection(connectionSt