文章导读

拼SQL实现where in查询

使用CHARINDEX或like实现where in 参数化

使用exec动态执行SQl实现where in 参数化

为每一个参数生成一个参数实现where in 参数化

使用临时表实现where in 参数化

like参数化查询

xml和DataTable传参

身为一名小小的程序猿,在日常开发中不可以避免的要和where in和like打交道,在大多数情况下我们传的参数不多简单做下单引号、敏感字符转义之后就直接拼进了SQL,执行查询,搞定。若有一天你不可避免的需要提高SQL的查询性能,需要一次性where in 几百、上千、甚至上万条数据时,参数化查询将是必然进行的选择。然而如何实现where in和like的参数化查询,是个让不少人头疼的问题。

where in 的参数化查询实现

首先说一下我们常用的办法,直接拼SQL实现,一般情况下都能满足需要

  1. string userIds = "1,2,3,4";
  2. using (SqlConnection conn = new SqlConnection(connectionString))
  3. {
  4.     conn.Open();
  5.     SqlCommand comm = new SqlCommand();
  6.     comm.Connection = conn;
  7.     comm.CommandText = string.Format("select * from Users(nolock) where UserID in({0})", userIds);
  8.     comm.ExecuteNonQuery();
  9. }

需要参数化查询时进行的尝试,很显然如下这样执行SQL会报错错误

  1. using (SqlConnection conn = new SqlConnection(connectionString))
  2. {
  3.     conn.Open();
  4.     SqlCommand comm = new SqlCommand();
  5.     comm.Connection = conn;
  6.     comm.CommandText = "select * from Users(nolock) where UserID in(@UserID)";
  7.     comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" });
  8.     comm.ExecuteNonQuery();
  9. }

很显然这样会报错误:在将 varchar 值 '1,2,3,4' 转换成数据类型 int 时失败,因为参数类型为字符串,where in时会把@UserID当做一个字符串来处理,相当于实际执行了如下语句

  1. select * from Users(nolock) where UserID in('1,2,3,4')

若执行的语句为字符串类型的,SQL执行不会报错,当然也不会查询出任何结果

  1. using (SqlConnection conn = new SqlConnection(connectionString))
  2. {
  3.     conn.Open();
  4.     SqlCommand comm = new SqlCommand();
  5.     comm.Connection = conn;
  6.     comm.CommandText = "select * from Users(nolock) where UserName in(@UserName)";
  7.     comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar, -1) { Value = "'john','dudu','rabbit'" });
  8.     comm.ExecuteNonQuery();
  9. }

这样不会抱任何错误,也查不出想要的结果,因为这个@UserName被当做一个字符串来处理,实际相当于执行如下语句

  1. select * from Users(nolock) where UserName in('''john'',''dudu'',''rabbit''')

由此相信大家对于为何简单的where in 传参无法得到正确的结果知道为什么了吧,下面我们来看一看如何实现正确的参数化执行where in,为了真正实现参数化where in 传参,很多淫才想到了各种替代方案

方案1,使用CHARINDEX或like 方法实现参数化查询,毫无疑问,这种方法成功了,而且成功的复用了查询计划,但同时也彻底的让查询索引失效(在此不探讨索引话题),造成的后果是全表扫描,如果表里数据量很大,百万级、千万级甚至更多,这样的写法将造成灾难性后果;如果数据量比较小、只想借助参数化实现防止SQL注入的话这样写也无可厚非,还是得看具体需求。(不推荐)

  1. using (SqlConnection conn = new SqlConnection(connectionString))
  2. {
  3.     conn.Open();
  4.     SqlCommand comm = new SqlCommand();
  5.     comm.Connection = conn;
  6.     //使用CHARINDEX,实现参数化查询,可以复用查询计划,同时会使索引失效
  7.     comm.CommandText = "select * from Users(nolock) where CHARINDEX(','+ltrim(str(UserID))+',',','+@UserID+',')>0";
  8.     comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" });
  9.     comm.ExecuteNonQuery();
  10. }
  11.  
  12. using (SqlConnection conn = new SqlConnection(connectionString))
  13. {
  14.     conn.Open();
  15.     SqlCommand comm = new SqlCommand();
  16.     comm.Connection = conn;
  17.     //使用like,实现参数化查询,可以复用查询计划,同时会使索引失效
  18.     comm.CommandText = "select * from Users(nolock) where ','+@UserID+',' like  '%,'+ltrim(str(UserID))+',%' ";
  19.     comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" });
  20.     comm.ExecuteNonQuery();
  21. }

方案2 使用exec动态执行SQL,这样的写法毫无疑问是很成功的,而且代码也比较优雅,也起到了防止SQL注入的作用,看上去很完美,不过这种写法和直接拼SQL执行没啥实质性的区别,查询计划没有得到复用,对于性能提升没任何帮助,颇有种脱了裤子放屁的感觉,但也不失为一种解决方案。(不推荐)

  1. using (SqlConnection conn = new SqlConnection(connectionString))
  2. {
  3.     conn.Open();
  4.     SqlCommand comm = new SqlCommand();
  5.     comm.Connection = conn;
  6.     //使用exec动态执行SQL   //实际执行的查询计划为(@UserID varchar(max))select * from Users(nolock) where UserID in (1,2,3,4)   //不是预期的(@UserID varchar(max))exec('select * from Users(nolock) where UserID in ('+@UserID+')')    comm.CommandText = "exec('select * from Users(nolock) where UserID in ('+@UserID+')')";
  7.     comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" });
  8.     comm.ExecuteNonQuery();
  9. }

方案3 为where in的每一个参数生成一个参数,写法上比较麻烦些,传输的参数个数有限制,最多2100个,可以根据需要使用此方案(推荐)

  1. using (SqlConnection conn = new SqlConnection(connectionString))
  2.  
  3. {
  4.     conn.Open();
  5.     SqlCommand comm = new SqlCommand();
  6.     comm.Connection = conn;
  7.     //为每一条数据添加一个参数
  8.     comm.CommandText = "select * from Users(nolock) where UserID in (@UserID1,@UserId2,@UserID3,@UserID4)";
  9.     comm.Parameters.AddRange(
  10.     new SqlParameter[]{
  11.         new SqlParameter("@UserID1", SqlDbType.Int) { Value = 1},
  12.         new SqlParameter("@UserID2", SqlDbType.Int) { Value = 2},
  13.         new SqlParameter("@UserID3", SqlDbType.Int) { Value = 3},
  14.         new SqlParameter("@UserID4", SqlDbType.Int) { Value = 4}
  15.     });
  16.  
  17.     comm.ExecuteNonQuery();
  18. }

方案4 使用临时表实现(也可以使用表变量性能上可能会更加好些),写法实现上比较繁琐些,可以根据需要写个通用的where in临时表查询的方法,以供不时之需,个人比较推崇这种写法,能够使查询计划得到复用而且对索引也能有效的利用,不过由于需要创建临时表,会带来额外的IO开销,若查询频率很高,每次的数据不多时还是建议使用方案3,若查询数据条数较多,尤其是上千条甚至上万条时,强烈建议使用此方案,可以带来巨大的性能提升(强烈推荐)

  1. using (SqlConnection conn = new SqlConnection(connectionString))
  2. {
  3.     conn.Open();
  4.     SqlCommand comm = new SqlCommand();
  5.     comm.Connection = conn;
  6.     string sql = @"
  7.         declare @Temp_Variable varchar(max)
  8.         create table #Temp_Table(Item varchar(max))
  9.         while(LEN(@Temp_Array) > 0)
  10.         begin
  11.             if(CHARINDEX(',',@Temp_Array) = 0)
  12.             begin
  13.                 set @Temp_Variable = @Temp_Array
  14.                 set @Temp_Array = ''
  15.             end
  16.             else
  17.             begin
  18.                 set @Temp_Variable = LEFT(@Temp_Array,CHARINDEX(',',@Temp_Array)-1)
  19.                 set @Temp_Array = RIGHT(@Temp_Array,LEN(@Temp_Array)-LEN(@Temp_Variable)-1)
  20.             end
  21.         insert into #Temp_Table(Item) values(@Temp_Variable)
  22.         end
  23.         select * from Users(nolock) where exists(select 1 from #Temp_Table(nolock) where #Temp_Table.Item=Users.UserID)
  24.         drop table #Temp_Table";
  25.     comm.CommandText = sql;
  26.     comm.Parameters.Add(new SqlParameter("@Temp_Array", SqlDbType.VarChar, -) { Value = "1,2,3,4" });
  27.     comm.ExecuteNonQuery();
  28. }

like参数化查询 like查询根据个人习惯将通配符写到参数值中或在SQL拼接都可,两种方法执行效果一样,在此不在详述

  1. using (SqlConnection conn = new SqlConnection(connectionString))
  2. {
  3.     conn.Open();
  4.     SqlCommand comm = new SqlCommand();
  5.     comm.Connection = conn;
  6.     //将 % 写到参数值中
  7.     comm.CommandText = "select * from Users(nolock) where UserName like @UserName";
  8.     comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar, ) { Value = "rabbit%" });
  9.     comm.ExecuteNonQuery();
  10. }
  11.  
  12. using (SqlConnection conn = new SqlConnection(connectionString))
  13. {
  14.     conn.Open();
  15.     SqlCommand comm = new SqlCommand();
  16.     comm.Connection = conn;
  17.     //SQL中拼接 %
  18.     comm.CommandText = "select * from Users(nolock) where UserName like @UserName+'%'";
  19.     comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar, ) { Value = "rabbit%" });
  20.     comm.ExecuteNonQuery();
  21. }

看到Tom.汤和蚊子额的评论 补充了下xml传参和tvp传参,并对6种方案做了个简单总结

Sql Server参数化查询之where in和like实现之xml和DataTable传参 

Sql Server参数化查询之where in和like实现详解 [转]的更多相关文章

  1. Sql Server参数化查询之where in和like实现详解

    where in 的参数化查询实现 首先说一下我们常用的办法,直接拼SQL实现,一般情况下都能满足需要 string userIds = "1,2,3,4"; using (Sql ...

  2. 【转】Sql Server参数化查询之where in和like实现详解

    转载至:http://www.cnblogs.com/lzrabbit/archive/2012/04/22/2465313.html 文章导读 拼SQL实现where in查询 使用CHARINDE ...

  3. 【转载】Sql Server参数化查询之where in和like实现详解

    文章导读 拼SQL实现where in查询 使用CHARINDEX或like实现where in 参数化 使用exec动态执行SQl实现where in 参数化 为每一个参数生成一个参数实现where ...

  4. [转]Sql Server参数化查询之where in和like实现详解

    本文转自;http://www.cnblogs.com/lzrabbit/archive/2012/04/22/2465313.html 文章导读 拼SQL实现where in查询 使用CHARIND ...

  5. 【转】Sql Server参数化查询之where in和like实现之xml和DataTable传参

    转载至: http://www.cnblogs.com/lzrabbit/archive/2012/04/29/2475427.html 在上一篇Sql Server参数化查询之where in和li ...

  6. Sql Server参数化查询之where in和like实现之xml和DataTable传参 (转)

    在上一篇Sql Server参数化查询之where in和like实现详解中介绍了在Sql Server使用参数化查询where in的几种实现方案,遗漏了xml和表值参数,这里做一个补充 文章导读 ...

  7. SQL Server 表的管理_关于事务操作的详解(案例代码)

    SQL Server 表的管理_关于事务操作的详解(案例代码) 1.概念 事务(transaction): 是将多个修改语句组合在一起的方法,这个方法中的所有语句只有全部执行才能正确完成功能.即要么全 ...

  8. 【转】浅析Sql Server参数化查询

    转载至: http://www.cnblogs.com/lzrabbit/archive/2012/04/21/2460978.html 错误认识1.不需要防止sql注入的地方无需参数化 参数化查询就 ...

  9. 浅析Sql Server参数化查询

    说来惭愧,工作差不多4年了,直到前些日子被DBA找上门让我优化一个CPU占用很高的复杂SQL语句时,我才突然意识到了参数化查询的重要性. 相信有很多开发者和我一样对于参数化查询认识比较模糊,没有引起足 ...

随机推荐

  1. 转:ArcGIS API for JavaScript之图层

    参考文章地址: https://developers.arcgis.com/javascript/3/jsapi/layer-amd.html Layer |–TiledMapServiceLayer ...

  2. 树和二叉树->基础知识

    树的表示方法 1 一般表示法 2 广义表表示法 3 凹入表示法 树的基本术语: 树:n(n>=0)个结点的有限集 结点:包含一个数据元素及若干指向其子树的分支 结点的度:结点拥有的子树数成为结点 ...

  3. Python一个文件调用另外一个文件的方法

    from common.Log import MyLog as Log 写法不完善修改为 import common.Log.MyLog as Log 即可

  4. 洛谷P4556 雨天的尾巴 线段树

    正解:线段树合并 解题报告: 传送门! 考虑对树上的每个节点开一棵权值线段树,动态开点,记录一个max(num,id)(这儿的id,define了一下,,,指的是从小到大排QAQ 然后修改操作可以考虑 ...

  5. 用uart实现printf函数

    硬件:JZ2440 实现功能:用putchr()函数实现printf() start.s nand.c uart.c uart.h my_stdio.c my_stdio.h main.c start ...

  6. 并查集——合作网络D306

    合作网络D306             运行时间限制:1000ms: 运行空间限制:51200KB: 试题描述 有n个结点,初始时每个结点的父结点都不存在.你的任务是执行若干次Set操作和Query ...

  7. (1.6)MySQL执行计划

    关键词:mysql执行计划 1.用法 [1.1]explain select * from tab_name........ [1.2]desc select * from tab_name..... ...

  8. find 命令 查找

    find 查找文件和目录 find /home -name "" find 后接查找的目录,-name 后指定需要查找的文件名 文件名可以用*表示所有find /home -nam ...

  9. RN animated组动画

    代码: export default class AnimationGroupScene extends Component { constructor() { super() ) ) ) } com ...

  10. .ashx文件与.ashx.cs

    如果项目是“新建网站”,添加的ashx是没有ashx.cs的:如果是新建"asp.net web 应用程序",添加的ashx是有ashx.cs的. 今天做项目测试遇到一个问题,因为 ...