身为一名小小的程序猿,在日常开发中不可以避免的要和where in和like打交道,在大多数情况下我们传的参数不多简单做下单引号、敏感字符转义之后直接拼进了SQL,执行查询,搞定。若有你不可避免的需要提高SQL的查询性能,需要一次性where in 几百、上千、甚至上万条数据时,参数化查询将是必然进行的选择。然而如何实现where in和like的参数化查询,是个让不少人头疼的问题。

  where in 的参数化查询实现

  首先说一下我们常用的办法,直接拼SQL实现,一般情况下都能满足需要。

string userIds = "1,2,3,4";
using (SqlConnection conn = new SqlConnection(connectionString))
{
  conn.Open();
  SqlCommand comm = new SqlCommand();
  comm.Connection = conn;
  comm.CommandText = string.Format("select * from Users(nolock) where UserID in({0})", userIds);
  comm.ExecuteNonQuery();
}

  需要参数化查询时进行的尝试,很显然如下这样执行SQL会报错错误。

using (SqlConnection conn = new SqlConnection(connectionString))
{
  conn.Open();
  SqlCommand comm = new SqlCommand();
  comm.Connection = conn;
  comm.CommandText = "select * from Users(nolock) where UserID in(@UserID)";
  comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" });
  comm.ExecuteNonQuery();
}

  很显然这样会报错误:在将 varchar 值 '1,2,3,4' 转换成数据类型 int 时失败,因为参数类型为字符串,where in时会把@UserID当做一个字符串来处理,相当于实际执行了如下语句:

select * from Users(nolock) where UserID in('1,2,3,4')

  若执行的语句为字符串类型的,SQL执行不会报错,当然也不会查询出任何结果。

using (SqlConnection conn = new SqlConnection(connectionString))
{
  conn.Open();
  SqlCommand comm = new SqlCommand();
  comm.Connection = conn;
  comm.CommandText = "select * from Users(nolock) where UserName in(@UserName)";
  comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar, -1) { Value = "'john','dudu','rabbit'" });
  comm.ExecuteNonQuery();
}

  这样不会抱任何错误,也查不出想要的结果,因为这个@UserName被当做一个字符串来处理,实际相当于执行如下语句:

select * from Users(nolock) where UserName in('''john'',''dudu'',''rabbit''')

  由此相信,大家对于为何简单的where in 传参无法得到正确的结果知道为什么了吧,下面我们来看一看如何实现正确的参数化执行where in,为了真正实现参数化where in 传参,很多人才想到了各种替代方案:

  方案1:使用CHARINDEX或like 方法实现参数化查询,毫无疑问,这种方法成功了,而且成功的复用了查询计划,但同时也彻底的让查询索引失效(在此不探讨索引话题),造成的后果是全表扫描,如果表里数据量很大,百万级、千万级甚至更多,这样的写法将造成灾难性后果;如果数据量比较小、只想借助参数化实现防止SQL注入的话这样写也无可厚非,还是得看具体需求。(不推荐)

using (SqlConnection conn = new SqlConnection(connectionString))
{
  conn.Open();
  SqlCommand comm = new SqlCommand();
  comm.Connection = conn;
  //使用CHARINDEX,实现参数化查询,可以复用查询计划,同时会使索引失效
  comm.CommandText = "select * from Users(nolock) where CHARINDEX(','+ltrim(str(UserID))+',',','+@UserID+',')>0";
  comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" });
  comm.ExecuteNonQuery();
}
using (SqlConnection conn = new SqlConnection(connectionString))
{
  conn.Open();
  SqlCommand comm = new SqlCommand();
  comm.Connection = conn;
  //使用like,实现参数化查询,可以复用查询计划,同时会使索引失效
  comm.CommandText = "select * from Users(nolock) where ','+@UserID+',' like '%,'+ltrim(str(UserID))+',%' ";
  comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" });
  comm.ExecuteNonQuery();
}