SQL服务器：动态where子句

Question

问题：在[ñ]在配方成分

阿贾克斯建议的搜索。那就是：匹配多种配料的食谱。

例如：SELECT Recipes using "flower", "salt"将产生："Pizza", "Bread", "Saltwater"等等。

表：

Ingredients [ 
    IngredientsID INT [PK], 
    IngredientsName VARCHAR 
] 

Recipes [ 
    RecipesID INT [PK], 
    RecipesName VARCHAR 
] 

IngredientsRecipes [ 
    IngredientsRecipesID INT [PK], 
    IngredientsID INT, 
    RecipesID INT 
] 

查询：

SELECT 
    Recipes.RecipesID, 
    Recipes.RecipesName, 
    Ingredients.IngredientsID, 
    Ingredients.IngredientsName 
FROM 
    IngredientsRecipes 

    INNER JOIN Ingredients 
    ON IngredientsRecipes.IngredientsID = Ingredients.IngredientsID 

    INNER JOIN Recipes 
    ON IngredientsRecipes.RecipesID = Recipes.RecipesID 
WHERE 
    Ingredients.IngredientsName IN ('salt', 'water', 'flower') 

我目前正在建设由于WHERE条款的动态性质使用ASP.NET C＃我的查询。

我咬了一口，我不得不在我的代码层中构建查询，而不是使用存储过程/纯SQL，这在理论上应该快得多。

你们有没有想过如何将我的代码层中的所有逻辑移到纯SQL，或者至少我如何优化我所做的工作？

第一步：SELECT IngredientsID FROM Ingredients和INSERT INTO temp-table

第二步：

我沿着临时表的行思SELECT RecipesName FROM Recipes加入了与IngredientsRecipes与temp-table.IngredientsID

Answer 1

您有两种选择。如果您使用SQL Server 2008（或Oracle），则可以传入table value parameter。

如果您使用SQL Server 2005中，你如果你正在使用的东西比2005年早些时候可以使用XML to simulate this capability

，你需要连接的ID在一个字符串，并创建一个UDF解析他们。

Answer 2

加盟取决于你怎么上正在处理输入的成分我认为这个当前的方法有一些SQL注入风险。

您可以将连接条件名添加到可能更快的连接条件中。

你也可以散列成分的组合信息进行快速查找。

Answer 3

你至少可以参数化的地方clausule避免SQL注入，东西一样：

using System.Data; 
using System.Data.SqlClient; 
using System.Text; 

class Foo 
{ 
    public static void Main() 
    { 
     string[] parameters = {"salt", "water", "flower"}; 
     SqlConnection connection = new SqlConnection(); 
     SqlCommand command = connection.CreateCommand(); 
     StringBuilder where = new StringBuilder(); 
     for (int i = 0; i < parametes.Length; i++) 
     { 
      if (i != 0) 
       where.Append (","); 
      where.AppendFormat ("@Param{0}", i); 
      command.Parameters.Add (new SqlParameter ("Param" + i, parameters [i])); 
     } 
    } 
}