SqlServer参数化查询之where in和like实现详解
程序员文章站
2023-12-02 22:03:04
身为一名小小的程序猿,在日常开发中不可以避免的要和where in和like打交道,在大多数情况下我们传的参数不多简单做下单引号、敏感字符转义之后就直接拼进了sql,执行查...
身为一名小小的程序猿,在日常开发中不可以避免的要和where in和like打交道,在大多数情况下我们传的参数不多简单做下单引号、敏感字符转义之后就直接拼进了sql,执行查询,搞定。若有一天你不可避免的需要提高sql的查询性能,需要一次性where in 几百、上千、甚至上万条数据时,参数化查询将是必然进行的选择。然而如何实现where in和like的参数化查询,是个让不少人头疼的问题。
where in 的参数化查询实现
首先说一下我们常用的办法,直接拼sql实现,一般情况下都能满足需要
string userids = "1,2,3,4";
using (sqlconnection conn = new sqlconnection(connectionstring))
{
conn.open();
sqlcommand comm = new sqlcommand();
comm.connection = conn;
comm.commandtext = string.format("select * from users(nolock) where userid in({0})", userids);
comm.executenonquery();
}
需要参数化查询时进行的尝试,很显然如下这样执行sql会报错错误
using (sqlconnection conn = new sqlconnection(connectionstring))
{
conn.open();
sqlcommand comm = new sqlcommand();
comm.connection = conn;
comm.commandtext = "select * from users(nolock) where userid in(@userid)";
comm.parameters.add(new sqlparameter("@userid", sqldbtype.varchar, -1) { value = "1,2,3,4" });
comm.executenonquery();
}
很显然这样会报错误:在将 varchar 值 '1,2,3,4' 转换成数据类型 int 时失败,因为参数类型为字符串,where in时会把@userid当做一个字符串来处理,相当于实际执行了如下语句
select * from users(nolock) where userid in('1,2,3,4')
若执行的语句为字符串类型的,sql执行不会报错,当然也不会查询出任何结果
using (sqlconnection conn = new sqlconnection(connectionstring))
{
conn.open();
sqlcommand comm = new sqlcommand();
comm.connection = conn;
comm.commandtext = "select * from users(nolock) where username in(@username)";
comm.parameters.add(new sqlparameter("@username", sqldbtype.varchar, -1) { value = "'john','dudu','rabbit'" });
comm.executenonquery();
}
这样不会抱任何错误,也查不出想要的结果,因为这个@username被当做一个字符串来处理,实际相当于执行如下语句
select * from users(nolock) where username in('''john'',''dudu'',''rabbit''')
由此相信大家对于为何简单的where in 传参无法得到正确的结果知道为什么了吧,下面我们来看一看如何实现正确的参数化执行where in,为了真正实现参数化where in 传参,很多淫才想到了各种替代方案
方案1,使用charindex或like 方法实现参数化查询,毫无疑问,这种方法成功了,而且成功的复用了查询计划,但同时也彻底的让查询索引失效(在此不探讨索引话题),造成的后果是全表扫描,如果表里数据量很大,百万级、千万级甚至更多,这样的写法将造成灾难性后果;如果数据量比较小、只想借助参数化实现防止sql注入的话这样写也无可厚非,还是得看具体需求。(不推荐)
using (sqlconnection conn = new sqlconnection(connectionstring))
{
conn.open();
sqlcommand comm = new sqlcommand();
comm.connection = conn;
//使用charindex,实现参数化查询,可以复用查询计划,同时会使索引失效
comm.commandtext = "select * from users(nolock) where charindex(','+ltrim(str(userid))+',',','+@userid+',')>0";
comm.parameters.add(new sqlparameter("@userid", sqldbtype.varchar, -1) { value = "1,2,3,4" });
comm.executenonquery();
}
using (sqlconnection conn = new sqlconnection(connectionstring))
{
conn.open();
sqlcommand comm = new sqlcommand();
comm.connection = conn;
//使用like,实现参数化查询,可以复用查询计划,同时会使索引失效
comm.commandtext = "select * from users(nolock) where ','+@userid+',' like '%,'+ltrim(str(userid))+',%' ";
comm.parameters.add(new sqlparameter("@userid", sqldbtype.varchar, -1) { value = "1,2,3,4" });
comm.executenonquery();
}
方案2 使用exec动态执行sql,这样的写法毫无疑问是很成功的,而且代码也比较优雅,也起到了防止sql注入的作用,看上去很完美,不过这种写法和直接拼sql执行没啥实质性的区别,查询计划没有得到复用,对于性能提升没任何帮助,颇有种脱了裤子放屁的感觉,但也不失为一种解决方案。(不推荐)
using (sqlconnection conn = new sqlconnection(connectionstring))
{
conn.open();
sqlcommand comm = new sqlcommand();
comm.connection = conn;
//使用exec动态执行sql
//实际执行的查询计划为(@userid varchar(max))select * from users(nolock) where userid in (1,2,3,4)
//不是预期的(@userid varchar(max))exec('select * from users(nolock) where userid in ('+@userid+')')
comm.commandtext = "exec('select * from users(nolock) where userid in ('+@userid+')')";
comm.parameters.add(new sqlparameter("@userid", sqldbtype.varchar, -1) { value = "1,2,3,4" });
comm.executenonquery();
}
方案3 为where in的每一个参数生成一个参数,写法上比较麻烦些,传输的参数个数有限制,最多2100个,可以根据需要使用此方案(推荐)
using (sqlconnection conn = new sqlconnection(connectionstring))
{
conn.open();
sqlcommand comm = new sqlcommand();
comm.connection = conn;
//为每一条数据添加一个参数
comm.commandtext = "select * from users(nolock) where userid in (@userid1,@userid2,@userid3,@userid4)";
comm.parameters.addrange(
new sqlparameter[]{
new sqlparameter("@userid1", sqldbtype.int) { value = 1},
new sqlparameter("@userid2", sqldbtype.int) { value = 2},
new sqlparameter("@userid3", sqldbtype.int) { value = 3},
new sqlparameter("@userid4", sqldbtype.int) { value = 4}
});
comm.executenonquery();
}
方案4 使用临时表实现(也可以使用表变量性能上可能会更加好些),写法实现上比较繁琐些,可以根据需要写个通用的where in临时表查询的方法,以供不时之需,个人比较推崇这种写法,能够使查询计划得到复用而且对索引也能有效的利用,不过由于需要创建临时表,会带来额外的io开销,若查询频率很高,每次的数据不多时还是建议使用方案3,若查询数据条数较多,尤其是上千条甚至上万条时,强烈建议使用此方案,可以带来巨大的性能提升(强烈推荐)
using (sqlconnection conn = new sqlconnection(connectionstring))
{
conn.open();
sqlcommand comm = new sqlcommand();
comm.connection = conn;
string sql = @"
declare @temp_variable varchar(max)
create table #temp_table(item varchar(max))
while(len(@temp_array) > 0)
begin
if(charindex(',',@temp_array) = 0)
begin
set @temp_variable = @temp_array
set @temp_array = ''
end
else
begin
set @temp_variable = left(@temp_array,charindex(',',@temp_array)-1)
set @temp_array = right(@temp_array,len(@temp_array)-len(@temp_variable)-1)
end
insert into #temp_table(item) values(@temp_variable)
end
select * from users(nolock) where exists(select 1 from #temp_table(nolock) where #temp_table.item=users.userid)
drop table #temp_table";
comm.commandtext = sql;
comm.parameters.add(new sqlparameter("@temp_array", sqldbtype.varchar, -1) { value = "1,2,3,4" });
comm.executenonquery();
}
like参数化查询
like查询根据个人习惯将通配符写到参数值中或在sql拼接都可,两种方法执行效果一样,在此不在详述
using (sqlconnection conn = new sqlconnection(connectionstring))
{
conn.open();
sqlcommand comm = new sqlcommand();
comm.connection = conn;
//将 % 写到参数值中
comm.commandtext = "select * from users(nolock) where username like @username";
comm.parameters.add(new sqlparameter("@username", sqldbtype.varchar, 200) { value = "rabbit%" });
comm.executenonquery();
}
using (sqlconnection conn = new sqlconnection(connectionstring))
{
conn.open();
sqlcommand comm = new sqlcommand();
comm.connection = conn;
//sql中拼接 %
comm.commandtext = "select * from users(nolock) where username like @username+'%'";
comm.parameters.add(new sqlparameter("@username", sqldbtype.varchar, 200) { value = "rabbit%" });
comm.executenonquery();
}
看到tom.汤和蚊子额的评论 补充了下xml传参和tvp传参,并对6种方案做了个简单总结
sql server参数化查询之where in和like实现之xml和datatable传参
此文章属懒惰的肥兔原创
where in 的参数化查询实现
首先说一下我们常用的办法,直接拼sql实现,一般情况下都能满足需要
复制代码 代码如下:
string userids = "1,2,3,4";
using (sqlconnection conn = new sqlconnection(connectionstring))
{
conn.open();
sqlcommand comm = new sqlcommand();
comm.connection = conn;
comm.commandtext = string.format("select * from users(nolock) where userid in({0})", userids);
comm.executenonquery();
}
需要参数化查询时进行的尝试,很显然如下这样执行sql会报错错误
复制代码 代码如下:
using (sqlconnection conn = new sqlconnection(connectionstring))
{
conn.open();
sqlcommand comm = new sqlcommand();
comm.connection = conn;
comm.commandtext = "select * from users(nolock) where userid in(@userid)";
comm.parameters.add(new sqlparameter("@userid", sqldbtype.varchar, -1) { value = "1,2,3,4" });
comm.executenonquery();
}
很显然这样会报错误:在将 varchar 值 '1,2,3,4' 转换成数据类型 int 时失败,因为参数类型为字符串,where in时会把@userid当做一个字符串来处理,相当于实际执行了如下语句
复制代码 代码如下:
select * from users(nolock) where userid in('1,2,3,4')
若执行的语句为字符串类型的,sql执行不会报错,当然也不会查询出任何结果
复制代码 代码如下:
using (sqlconnection conn = new sqlconnection(connectionstring))
{
conn.open();
sqlcommand comm = new sqlcommand();
comm.connection = conn;
comm.commandtext = "select * from users(nolock) where username in(@username)";
comm.parameters.add(new sqlparameter("@username", sqldbtype.varchar, -1) { value = "'john','dudu','rabbit'" });
comm.executenonquery();
}
这样不会抱任何错误,也查不出想要的结果,因为这个@username被当做一个字符串来处理,实际相当于执行如下语句
复制代码 代码如下:
select * from users(nolock) where username in('''john'',''dudu'',''rabbit''')
由此相信大家对于为何简单的where in 传参无法得到正确的结果知道为什么了吧,下面我们来看一看如何实现正确的参数化执行where in,为了真正实现参数化where in 传参,很多淫才想到了各种替代方案
方案1,使用charindex或like 方法实现参数化查询,毫无疑问,这种方法成功了,而且成功的复用了查询计划,但同时也彻底的让查询索引失效(在此不探讨索引话题),造成的后果是全表扫描,如果表里数据量很大,百万级、千万级甚至更多,这样的写法将造成灾难性后果;如果数据量比较小、只想借助参数化实现防止sql注入的话这样写也无可厚非,还是得看具体需求。(不推荐)
复制代码 代码如下:
using (sqlconnection conn = new sqlconnection(connectionstring))
{
conn.open();
sqlcommand comm = new sqlcommand();
comm.connection = conn;
//使用charindex,实现参数化查询,可以复用查询计划,同时会使索引失效
comm.commandtext = "select * from users(nolock) where charindex(','+ltrim(str(userid))+',',','+@userid+',')>0";
comm.parameters.add(new sqlparameter("@userid", sqldbtype.varchar, -1) { value = "1,2,3,4" });
comm.executenonquery();
}
using (sqlconnection conn = new sqlconnection(connectionstring))
{
conn.open();
sqlcommand comm = new sqlcommand();
comm.connection = conn;
//使用like,实现参数化查询,可以复用查询计划,同时会使索引失效
comm.commandtext = "select * from users(nolock) where ','+@userid+',' like '%,'+ltrim(str(userid))+',%' ";
comm.parameters.add(new sqlparameter("@userid", sqldbtype.varchar, -1) { value = "1,2,3,4" });
comm.executenonquery();
}
方案2 使用exec动态执行sql,这样的写法毫无疑问是很成功的,而且代码也比较优雅,也起到了防止sql注入的作用,看上去很完美,不过这种写法和直接拼sql执行没啥实质性的区别,查询计划没有得到复用,对于性能提升没任何帮助,颇有种脱了裤子放屁的感觉,但也不失为一种解决方案。(不推荐)
复制代码 代码如下:
using (sqlconnection conn = new sqlconnection(connectionstring))
{
conn.open();
sqlcommand comm = new sqlcommand();
comm.connection = conn;
//使用exec动态执行sql
//实际执行的查询计划为(@userid varchar(max))select * from users(nolock) where userid in (1,2,3,4)
//不是预期的(@userid varchar(max))exec('select * from users(nolock) where userid in ('+@userid+')')
comm.commandtext = "exec('select * from users(nolock) where userid in ('+@userid+')')";
comm.parameters.add(new sqlparameter("@userid", sqldbtype.varchar, -1) { value = "1,2,3,4" });
comm.executenonquery();
}
方案3 为where in的每一个参数生成一个参数,写法上比较麻烦些,传输的参数个数有限制,最多2100个,可以根据需要使用此方案(推荐)
复制代码 代码如下:
using (sqlconnection conn = new sqlconnection(connectionstring))
{
conn.open();
sqlcommand comm = new sqlcommand();
comm.connection = conn;
//为每一条数据添加一个参数
comm.commandtext = "select * from users(nolock) where userid in (@userid1,@userid2,@userid3,@userid4)";
comm.parameters.addrange(
new sqlparameter[]{
new sqlparameter("@userid1", sqldbtype.int) { value = 1},
new sqlparameter("@userid2", sqldbtype.int) { value = 2},
new sqlparameter("@userid3", sqldbtype.int) { value = 3},
new sqlparameter("@userid4", sqldbtype.int) { value = 4}
});
comm.executenonquery();
}
方案4 使用临时表实现(也可以使用表变量性能上可能会更加好些),写法实现上比较繁琐些,可以根据需要写个通用的where in临时表查询的方法,以供不时之需,个人比较推崇这种写法,能够使查询计划得到复用而且对索引也能有效的利用,不过由于需要创建临时表,会带来额外的io开销,若查询频率很高,每次的数据不多时还是建议使用方案3,若查询数据条数较多,尤其是上千条甚至上万条时,强烈建议使用此方案,可以带来巨大的性能提升(强烈推荐)
复制代码 代码如下:
using (sqlconnection conn = new sqlconnection(connectionstring))
{
conn.open();
sqlcommand comm = new sqlcommand();
comm.connection = conn;
string sql = @"
declare @temp_variable varchar(max)
create table #temp_table(item varchar(max))
while(len(@temp_array) > 0)
begin
if(charindex(',',@temp_array) = 0)
begin
set @temp_variable = @temp_array
set @temp_array = ''
end
else
begin
set @temp_variable = left(@temp_array,charindex(',',@temp_array)-1)
set @temp_array = right(@temp_array,len(@temp_array)-len(@temp_variable)-1)
end
insert into #temp_table(item) values(@temp_variable)
end
select * from users(nolock) where exists(select 1 from #temp_table(nolock) where #temp_table.item=users.userid)
drop table #temp_table";
comm.commandtext = sql;
comm.parameters.add(new sqlparameter("@temp_array", sqldbtype.varchar, -1) { value = "1,2,3,4" });
comm.executenonquery();
}
like参数化查询
like查询根据个人习惯将通配符写到参数值中或在sql拼接都可,两种方法执行效果一样,在此不在详述
复制代码 代码如下:
using (sqlconnection conn = new sqlconnection(connectionstring))
{
conn.open();
sqlcommand comm = new sqlcommand();
comm.connection = conn;
//将 % 写到参数值中
comm.commandtext = "select * from users(nolock) where username like @username";
comm.parameters.add(new sqlparameter("@username", sqldbtype.varchar, 200) { value = "rabbit%" });
comm.executenonquery();
}
using (sqlconnection conn = new sqlconnection(connectionstring))
{
conn.open();
sqlcommand comm = new sqlcommand();
comm.connection = conn;
//sql中拼接 %
comm.commandtext = "select * from users(nolock) where username like @username+'%'";
comm.parameters.add(new sqlparameter("@username", sqldbtype.varchar, 200) { value = "rabbit%" });
comm.executenonquery();
}
看到tom.汤和蚊子额的评论 补充了下xml传参和tvp传参,并对6种方案做了个简单总结
sql server参数化查询之where in和like实现之xml和datatable传参
此文章属懒惰的肥兔原创