在SQL查询中使用列表<string>中的项目

Question

好的，我有一个列表，它包含一组来自sql查询的值，该部分工作正常。我想要做的是使用该列表中的项目告诉另一个查询要查找什么。所以，它说的是，它应该返回CMMReports的所有列，其中PartNumber就像％listItem1..2 ... 3％，任何建议？

List<string> ImportedParts = GetImportedPartNumbers(); 

string query = "SELECT * FROM CMMReports WHERE (RacfId IS NULL OR RacfId = '') AND (FilePath NOT LIKE '%js91162%') AND PartNumber LIKE %" + ImportedParts + "% ORDER BY CreatedOn DESC;"; 

Answer 1

不是我宽恕这一点，因为你应该使用参数化查询。然而，这应该工作：

StringBuilder partNumbers = new StringBuilder(); 
foreach (string queryValue in ImportedParts) 
{ 
    string q = "PartNumber LIKE '%" + queryValue + "%'"; 
    if (string.IsNullOrEmpty(partNumbers.ToString()) 
    { 
     partNumbers.Append(q); 
    } 
    else 
    { 
     partNumbers.Append(" OR " + q); 
    } 
} 

string query = string.Format("SELECT * FROM CMMReports WHERE (RacfId IS NULL OR RacfId = '') " + 
      "AND (FilePath NOT LIKE '%js91162%') AND ({0}) " + 
      "ORDER BY CreatedOn DESC;", partNumbers.ToString()); 

Answer 2

未经检验的，但你应该得到的想法：

List<string> ImportedParts = GetImportedPartNumbers(); 

SqlCommand cmd = myConnection.CreateCommand(); 
cmd.CommandText = "SELECT * FROM CMMReports WHERE (RacfId IS NULL OR RacfId = '') AND (FilePath NOT LIKE '%js91162%') AND ("; 

int i = 0; 
foreach (string part in ImportedParts) { 
    cmd.AddParameterWithValue("@param" + i.ToString(), "%" + part + "%"); 
    if (i != 0) cmd.CommandText += " OR" 
    cmd.CommandText += " PartNumber LIKE @param" + i.ToString(); 
    i++; 
} 

cmd.CommandText += ") ORDER BY CreatedOn DESC;"; 

该解决方案在SQL中，这被认为是一个潜在的安全使用参数化查询，而不是只追加字符串风险。

Answer 3

您可以通过这种方式查找IN clouse，以便获得SQL Server可以在数据库中找到的部分的答案。对所有项目使用WHERE x = y表示如果找不到一个项目，则整个查询将不返回任何内容。

Answer 4

我会考虑在存储过程中执行此操作，并将您的列表作为参数Xml传入。

查看在存储过程中使用XML参数的详细信息下面的文章：

Passing lists to SQL Server 2005 with XML Parameters - By Jon Galloway

形式存在，你可以使用XML语法轻松地使用存储过程中您的列表数据，几乎把它作为另一个数据表。