C# mit SQL Server-WÄHLEN Sie, WO Sie IN mit Daten-Liste

Ich habe eine SQL-Server-Datenbank mit person_id - und name-Felder.

In meiner Anwendung habe ich eine Reihe von person_id, die ich brauche, um aus meiner Datenbank, Personen-Datensätze mit ids von meinem array.

  • Welche version von .Netz verwenden Sie? Zeigen Sie, was Sie bisher ausprobiert haben?
  • Welche Technologie verwenden Sie für die Verbindung zu SQL server? Raw SqlCommands, Typisierte DataSets, LINQ-to-SQL, Entity Framework?
  • Nein, ich nur verwendet sql.
  • Es ist "select Person_Name von tbl_Person_Info where Person_Id in (" + PersonIdList + ")"
  • Welche version von SQL Server und .NETZ verwenden Sie? SQL Server 2008 ermöglicht Tabellenwert-Parameter. Könnten Sie select Person_Name from tbl_Person_Info where Person_Id in (select * from @PersonIdList), dann übergeben Sie einen DataTable mit Ihren IDs als parameter.
InformationsquelleAutor samadhi | 2011-03-23
  1. 8

    Wenn Sie wollen einfach nur den SQL-string sollte diese Arbeit:

    var sql = "select Person_Name from tbl_Person_Info where Person_Id in ("
               + string.Join( ",", PersonIdList )
               + ")";

    Beachten Sie, dass es ein limit (2000, glaube ich) auf die Anzahl der Elemente erlaubt, die in der IN-Klausel. Auch, je nachdem, welche version .NET das du verwendest string.Join könnte verschiedene argument-Typen, die nicht erlauben, eine Liste von ganzen zahlen (sind Sie Integer?) verwendet zu werden. Haben Sie vielleicht zu konvertieren Zeichenfolgen, bevor Sie sich Ihnen anzuschließen.

    BEARBEITEN: Bitte beachten Sie, dass, wenn die PersonIdList Artikel kommen aus Benutzereingaben (und Saiten), das ist sehr gefährlich. Ich würde vorschlagen, mit einem neueren .NET-Technologie in jedem Fall, die erlauben würde, Sie zu handhaben, viel mehr sicher -- wie LINQ oder EF.

    • Bitte beachten Sie, dass wenn Ihr PersonIdList kam von Benutzereingaben, dass die über eine SQL-Injection-Angriff. Zumindest, stellen Sie sicher, dass Ihre Liste ist eine Liste von Integer-zahlen, mit denen dies weniger wahrscheinlich ist.
    • absolut richtig. Ich nehme an, Sie sind integer (oder GUID) - ids und nicht im Lieferumfang von Benutzereingaben.
    • Sie sind Guid-Typ-und data-base hat eindeutige Identifikatoren
    • wenn Sie als Zeichenfolgen dargestellt und geliefert durch den Benutzer, den Sie brauchen, vorsichtiger zu sein. Man könnte sogar hinzufügen möchten für jeden Parameter ein anstatt direkt den Bau der Zeichenfolge. Das ist ein bisschen komplexer.
    • Vielen Dank für alle Leute, die mir helfen, mich zu lösen, meine Frage. var sql =string.format( "select Person_Name von tbl_Person_Info where Person_Id in ('{0}')", string.join("','", PersonIdList));
    • NEIN, ich Guid verwendet.NewGuid() zur Generierung von id ' s, so das keine Eingaben des Benutzers. so ich hoffe, dass es ok ist. denn die id ist für den Benutzer unsichtbar die ganze Zeit.
    • Was zum performance und SQL-Injection ?
    • Ich bin damit einverstanden, dass, wenn die Liste ist lang, es ist nicht performant. Du bist wahrscheinlich besser dran mit einer temporären Tabelle (table-valued Parameters) und machst ein join oder finden Sie einen völlig anderen Weg zu gehen über das tun dies. Für SQL-Injection - siehe den Hinweis zu der Annahme, dass die Daten nicht aus den Benutzereingaben. Wenn es kommt eine Benutzereingabe, die kann man immer verketten Platzhalter für parameter (@p1, @p2, ...), dann fügen Sie entsprechende parameter-Werte für Sie.

    InformationsquelleAutor tvanfosson
  2. 3

    Nun siehe die furchtbare macht des Tabellenwert-parameter! (vorausgesetzt, Sie verwenden SQL Server 2008)

    Im wesentlichen, dies ist das Mittel zu übergeben, das array von ganzen zahlen richtig eingegeben haben, um eine gespeicherte Prozedur... also: keine string-Verkettung /sql-injection. Vor allem dies alles dreht sich um das erstellen einer SQL-Tabelle vom Typ mit einem einzigen integer-Spalte... dann haben Sie gerade den pass ein .NET DataTable (der gleichen Struktur), um eine gespeicherte Prozedur erwartet, sagte der Typ.

    Schritt #1: Erstellen einer Tabelle-Typ (auf SQL Server) für die übergabe einer Reihe von zahlen. Sie müssen diese Einstellung nur einmal so nicht gehen, legen Sie Sie in der gespeicherten Prozedur.

    create type IntegerValues as table (IntegerValue int)

    Schritt #2: Erstellen Sie eine stored procedure (SQL Server).

    create procedure dbo.GetPersonsByID
(
 @PersonIDs IntegerValues readonly -- must be readonly
)
as begin

   select
    p.*
   from [YourPersonTable] as p
       join @PersonIDs as pi
       on pi.[IntegerValue] = p.[Person_ID];

end

    Schritt 3: Rufen Sie Ihre gespeicherten Prozedur von C#

    //Written from my laptop straight into the textarea... so, it's untested.
public DataTable GetPersonsByIDs(int[] personIDs)
{
    var dtResults = new DataTable();
    var dtPersonIDs = new DataTable();

    dtPersonIDs.Columns.Add("IntegerValue", typeof(int));

    foreach(int id in personIDs)
    {
        dtPersonIDs.Rows.Add(id);
    }

    using(dtPersonIDs)
    using(var cnx = new SqlConnection("YourConnectionString"))
    using(var cmd = new SqlCommand {
        Connection = cnx,
        CommandText = "dbo.GetPersonsByIDs",
        CommandType = CommandType.StoredProcedure,
        Parameters = {
            new SqlParameter {
                ParameterName = "PersonIDs",
                SqlDbType = SqlDbType.Structured, //must be structured
                Value = dtPersonIDs,
            }
        }
    })
    { 
        try
        {
            cnx.Open();
            dt.Load(cmd.ExecuteReader());
            return dtResults;
        }
        catch(Exception ex)
        {
            throw new Exception("Error executing GetPersonsByIDs.", ex);
        }
    }
}
    • hat dies funktioniert, wie @tvanfosson Antwort und bietet auch sql-injection-Sicherheit zusammen mit dem ???
    • Ja, das schützt vor sql-injection.
    • Die OP reagierte auf einige Kommentare und erwähnt, dass er die Verwendung von guids. Das sollte in Ordnung sein... nur ersetzen, int mit der Guid in der C# - code mit int uniqueidentifier in den SQL-code.
    InformationsquelleAutor I am Monica
Schreibe einen Kommentar