Sql Server参数化查询之where in和like实现详解[教育]

Sql Server参数化查询之where in和like实现详解[教育] Sql Server参数化查询之where in和like实现详解 身为一名小小的程序猿，在日常开发中不可以避免的要和where in和like打交道，在大多数情况下我们传的参数不多简单做下单引号、敏感字符转义之后就直接拼进了SQL，执行查询，搞定。若有一天你不可避免的需要提高SQL的查询性能，需要一次性where in 几百、上千、甚至上万条数据时，参数化查询将是必然进行的选择。然而如何实现where in和like的参数化查询，是个让不少人头疼的问题。 where in 的参数化查询实现 首先说一下我们常用的办法，直接拼SQL实现，一般情况下都能满足需要 string userIds = "1,2,3,4"; using (SqlConnection conn = new SqlConnection(connectionString)) { conn.Open(); SqlCommand comm = new SqlCommand(); comm.Connection = conn; comm.CommandText = string.Format("select * from Users(nolock) where UserID in({0})", userIds); comm.ExecuteNonQuery(); } 需要参数化查询时进行的尝试，很显然如下这样执行SQL会报错错误 using (SqlConnection conn = new SqlConnection(connectionString)) { conn.Open(); SqlCommand comm = new SqlCommand(); comm.Connection = conn; comm.CommandText = "select * from Users(nolock) where UserID in(@UserID)"; comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" }); comm.ExecuteNonQuery(); } 很显然这样会报错误:在将 varchar 值 '1,2,3,4' 转换成数据类型 int 时失败，因为参数类型为字符串，where in时会把@UserID当做 一个字符串来处理，相当于实际执行了如下语句 select * from Users(nolock) where UserID in('1,2,3,4') 若执行的语句为字符串类型的，SQL执行不会报错，当然也不会查询 出任何结果 using (SqlConnection conn = new SqlConnection(connectionString)) { conn.Open(); SqlCommand comm = new SqlCommand(); comm.Connection = conn; comm.CommandText = "select * from Users(nolock) where UserName in(@UserName)"; comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar, -1) { Value = "'john','dudu','rabbit'" });www.zhaicao8.com comm.ExecuteNonQuery(); } 这样不会抱任何错误，也查不出想要的结果，因为这个@UserName被当做一个字符串来处理，实际相当于执行如下语句 select * from Users(nolock) where UserName in('''john'',''dudu'',''rabbit''') 由此相信大家对于为何简单的where in 传参无法得到正确的结果知道为什么了吧，下面我们来看一看如何实现正确的参数化执行where in，为了真正实现参数化where in 传参，很多淫才想到了各种替代 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 方案1，使用CHARINDEX或like 方法实现参数化查询，毫无疑问，这种方法成功了，而且成功的复用了查询计划，但同时也彻底的让查询索引失效(在此不探讨索引话题)，造成的后果是全 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 扫描，如果表里数据量很大，百万级、千万级甚至更多，这样的写法将造成灾难性后果;如果数据量比较小、只想借助参数化实现防止SQL注入的话这样写也无可厚非，还是得看具体需求。(不推荐) using (SqlConnection conn = new SqlConnection(connectionString)) { conn.Open(); SqlCommand comm = new SqlCommand(); comm.Connection = conn; //使用CHARINDEX，实现参数化查询，可以复用查询计划，同时 会使索引失效 comm.CommandText = "select * from Users(nolock) where CHARINDEX(','+ltrim(str(UserID))+',',','+@UserID+',')>0"; comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" }); comm.ExecuteNonQuery(); } using (SqlConnection conn = new SqlConnection(connectionString)) { conn.Open(); SqlCommand comm = new SqlCommand(); comm.Connection = conn; //使用like，实现参数化查询，可以复用查询计划，同时会使 索引失效 comm.CommandText = "select * from Users(nolock) where ','+@UserID+',' like '%,'+ltrim(str(UserID))+',%' "; comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" }); comm.ExecuteNonQuery(); } 方案2 使用exec动态执行SQL，这样的写法毫无疑问是很成功的， 而且代码也比较优雅，也起到了防止SQL注入的作用，看上去很完美， 不过这种写法和直接拼SQL执行没啥实质性的区别， fenzu.qqlove567.com 查询计划没有得到复用，对于性能提升没任何 帮助，颇有种脱了裤子放屁的感觉，但也不失为一种解决方案。(不 推荐) using (SqlConnection conn = new SqlConnection(connectionString)) { conn.Open(); SqlCommand comm = new SqlCommand(); comm.Connection = conn; //使用exec动态执行SQL //实际执行的查询计划为 (@UserID varchar(max))select * from Users(nolock) where UserID in (1,2,3,4) //不是预期的(@UserID varchar(max))exec('select * from Users(nolock) where UserID in ('+@UserID+')') comm.CommandText = "exec('select * from Users(nolock) where UserID in ('+@UserID+')')"; comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" }); comm.ExecuteNonQuery(); } 方案3 为where in的每一个参数生成一个参数，写法上比较麻烦些， 传输的参数个数有限制，最多2100个，可以根据需要使用此方案(推 荐) using (SqlConnection conn = new SqlConnection(connectionString)) { conn.Open(); SqlCommand comm = new SqlCommand(); comm.Connection = conn; //为每一条数据添加一个参数 comm.CommandText = "select * from Users(nolock) where UserID in (@UserID1,@UserId2,@UserID3,@UserID4)"; comm.Parameters.AddRange( new SqlParameter[]{ new SqlParameter("@UserID1", SqlDbType.Int) { Value = 1}, new SqlParameter("@UserID2", SqlDbType.Int) { Value = 2}, new SqlParameter("@UserID3", SqlDbType.Int) { Value = 3}, new SqlParameter("@UserID4", SqlDbType.Int) { Value = 4} }); comm.ExecuteNonQuery(); } 方案4 使用临时表实现(也可以使用表变量性能上可能会更加好些)，写法实现上比较繁琐些，可以根据需要写个通用的where in临时表查询的方法，以供不时之需，个人比较推崇这种写法，能够使查询计划得到复用而且对索引也能有效的利用，不过由于需要创建临时表，会带来额外的IO开销，若查询频率很高，每次的数据不多时还是建议使用方案3，若查询数据条数较多，尤其是上千条甚至上万条时，强烈建议使用此方案，可以带来巨大的性能提升(强烈推荐) using (SqlConnection conn = new SqlConnection(connectionString)) { conn.Open(); SqlCommand comm = new SqlCommand(); comm.Connection = conn; string sql = @" declare @Temp_Variable varchar(max) create table #Temp_Table(Item varchar(max)) while(LEN(@Temp_Array) > 0) begin if(CHARINDEX(',',@Temp_Array) = 0) begin set @Temp_Variable = @Temp_Array set @Temp_Array = '' end else begin set @Temp_Variable = LEFT(@Temp_Array,CHARINDEX(',',@Temp_Array)-1) set @Temp_Array = RIGHT(@Temp_Array,LEN(@Temp_Array)-LEN(@Temp_Variable)-1) end insert into #Temp_Table(Item) values(@Temp_Variable) end select * from Users(nolock) where exists(select 1 from #Temp_Table(nolock) where #Temp_Table.Item=Users.UserID) drop table #Temp_Table"; comm.CommandText = sql; comm.Parameters.Add(new SqlParameter("@Temp_Array", SqlDbType.VarChar, -1) { Value = "1,2,3,4" }); comm.ExecuteNonQuery(); } like参数化查询 like查询根据个人习惯将通配符写到参数值中或在SQL拼接都可， 两种方法执行效果一样，在此不在详述 using (SqlConnection conn = new SqlConnection(connectionString)) { conn.Open(); SqlCommand comm = new SqlCommand(); comm.Connection = conn; //将 % 写到参数值中 comm.CommandText = "select * from Users(nolock) where UserName like @UserName"; comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar, 200) { Value = "rabbit%" }); comm.ExecuteNonQuery(); } using (SqlConnection conn = new SqlConnection(connectionString)) { conn.Open(); SqlCommand comm = new SqlCommand(); comm.Connection = conn; //SQL中拼接 % comm.CommandText = "select * from Users(nolock) where UserName like @UserName+'%'"; comm.Parameters.Add(new SqlParameter("@UserName", SqlDbType.VarChar, 200) { Value = "rabbit%" }); comm.ExecuteNonQuery(); } 看到Tom.汤和蚊子额的评论 补充了下xml传参和tvp传参，并对6 种方案做了个简单总结 Sql Server参数化查询之where in和like实现之xml和DataTable传参 方案5 使用xml参数 对sql server xml类型参数不熟悉的童鞋需要先了解下XQuery概念，这里简单提下XQuery 是用来从 XML 文档查找和提取元素及属性的语言，简单说就是用于查询xml的语言说到这就会牵着到XPath，其实XPath是XQuery的一个子集，XQuery 1.0 和 XPath 2.0 共享相同的数据模型，并支持相同的函数和运算符，XPath的方法均适用于XQuery，假如您已经学习了 XPath，那么学习 XQuery 也不会有问题。详见 XQuery概念了解后需要进一步了解下Sql Server对xml的支持函数，主要为query()、nodes()、exist()、value()、modify() ，详见 使用xml方式实现where in时有两种实现方式，使用value和exist，在这里推荐使用exist方法，msdn是这样描述的: D.使用 exist() 方法而不使用 value() 方法 由于性能原因，不在谓词中使用 value() 方法与关系值进行比较，而改用具有 sql:column() 的 exist()。 使用xml的value方法实现(不推荐) DataTable dt = new DataTable(); using (SqlConnection conn = new SqlConnection(connectionString)) { string xml = @" 1 2 5 "; SqlCommand comm = conn.CreateCommand(); //不推荐使用value方法实现，性能相对exist要低 comm.CommandText = @"select * from Users where exists ( select 1 from @xml.nodes('/root/UserID') as T(c) where T.c.value('text()[1]','int')= Users.UserID )"; //也可以这样写，结果是一样的 //comm.CommandText = @"select * from Users // where UserID in // ( // select T.c.value('text()[1]','int') from @xml.nodes('/root/UserID') as T(c) // ) comm.Parameters.Add(new SqlParameter("@xml", SqlDbType.Xml) { Value = xml }); using (SqlDataAdapter adapter = new SqlDataAdapter(comm)) { adapter.SelectCommand = comm; adapter.Fill(dt); } } 使用xml的exist方法实现(推荐) DataTable dt = new DataTable(); using (SqlConnection conn = new SqlConnection(connectionString)) { string xml = @" 1 2 5 "; SqlCommand comm = conn.CreateCommand(); //使用xml的exist方法实现这样能够获得较高的性能 comm.CommandText = @"select * from Users where @xml.exist('/root/UserID[text()=sql:column(""UserID"")]')=1 "; comm.Parameters.Add(new SqlParameter("@xml", SqlDbType.Xml) { Value = xml }); using (SqlDataAdapter adapter = new SqlDataAdapter(comm)) { adapter.SelectCommand = comm; adapter.Fill(dt); } } 列举下不同xml结构的查询方法示例，在实际使用中经常因为不同的xml结构经常伤透了脑筋 DataTable dt = new DataTable(); using (SqlConnection conn = new SqlConnection(connectionString)) { string xml = @" 1 2 5 "; SqlCommand comm = conn.CreateCommand(); //不推荐使用value方法实现，性能相对exist要低 comm.CommandText = @"select * from Users where UserID in ( select T.c.value('UserID[1]','int') from @xml.nodes('/root/User') as T(c) )"; //也可以这样写，结果是一样的 //comm.CommandText = @"select * from Users // where exists // ( // select 1 from @xml.nodes('/root/User') as T(c) // where T.c.value('UserID[1]','int') = Users.UserID // )"; comm.Parameters.Add(new SqlParameter("@xml", SqlDbType.Xml) { Value = xml }); using (SqlDataAdapter adapter = new SqlDataAdapter(comm)) { adapter.SelectCommand = comm; adapter.Fill(dt); } } DataTable dt = new DataTable(); using (SqlConnection conn = new SqlConnection(connectionString)) { string xml = @" 1 2 5 "; SqlCommand comm = conn.CreateCommand(); //使用xml的exist方法实现这样能够获得较高的性能 comm.CommandText = @"select * from Users where @xml.exist('/root/User[UserID=sql:column(""UserID"")]')=1"; comm.Parameters.Add(new SqlParameter("@xml", SqlDbType.Xml) { Value = xml }); using (SqlDataAdapter adapter = new SqlDataAdapter(comm)) { adapter.SelectCommand = comm; adapter.Fill(dt); } } 使用xml参数时需要注意点: 1.不同于SQL语句默认不区分大小写，xml的XQuery表达式是严格区分大小写的，所以书写时一定注意大小写问题 2.使用exist时sql:column() 中的列名须使用双引号，如sql:column("UserID")，若非要使用单引号需要连续输入两个单引号 sql:column(''UserID'') 3.不管是where in或是其他情况下使用xml查询时能用exist(看清楚了不是sql里的exists)方法就用exist方法，我们不去刻意追求性能的优化，但能顺手为之的话何乐而不为呢。 方案6 使用表值参数(Table-Valued Parameters 简称TVP Sql Server2008开始支持) 按照msdn描述TVP参数在数据量小于1000时有着很出色的性能，关于TVP可以参考 这里主要介绍如何使用TVP实现DataTable集合传参实现where in 1.使用表值参数，首先在数据库创建表值函数 create type IntCollectionTVP as Table(ID int) 2.表值函数创建好后进行c#调用， 注意点: 1.需要SqlParameter中的SqlDbType设置为 SqlDbType.Structured然后需要设置TypeName为在数据库中创建的表值函数名，本示例中为IntCollectionTVP 2.构造的DataTabel列数必须和表值函数定义的一样，具体列名随意，无需和表值函数定义的列名一致，数据类型可以随意，但还是建议和表值类型定义的保持一致，一来省去隐式类型转换，二来可以 在初始化DataTabel时就将不合法的参数过滤掉 3.建议定义tvp的时候最好查询条件里的类型和tvp对应字段类型保持一致，这样可以避免隐式类型转换带来的性能损失 DataTable resultDt = new DataTable(); using (SqlConnection conn = new SqlConnection(connectionString)) { SqlCommand comm = conn.CreateCommand(); comm.CommandText = @"select * from Users(nolock) where exists ( select 1 from @MyTvp tvp where tvp.ID=Users.UserID )"; //构造需要传参的TVP DataTable DataTable tvpDt = new DataTable(); //为表添加列，列数需要和表值函数IntCollectionTVP保值一致，列名可以不一样 tvpDt.Columns.Add("myid", typeof(int)); //添加数据 tvpDt.Rows.Add(1); tvpDt.Rows.Add(2); tvpDt.Rows.Add(3); tvpDt.Rows.Add(4); //这里的TypeName对应我们定义的表值函数名 comm.Parameters.Add(new SqlParameter("@MyTvp", SqlDbType.Structured) { Value = tvpDt, TypeName = "IntCollectionTVP" }); using (SqlDataAdapter adapter = new SqlDataAdapter(comm)) { adapter.SelectCommand = comm; adapter.Fill(resultDt); } } 总结: 至此，一共总结了6六种where参数化实现，分别如下 1.使用CHARINDEX或like实现where in 参数化 2.使用exec动态执行SQl实现where in 参数化 3.为每一个参数生成一个参数实现where in 参数化 4.使用临时表实现where in 参数化 5.使用xml参数实现where in 参数化 6.使用表值参数(TVP)实现where in 参数化 其中前4种在Sql Server参数化查询之where in和like实现详解 一文中进行了列举和示例 6种方法，6种思路， 其中方法1 等于完全弃用了索引，若无特殊需要不建议采用， 方法2 本质上合拼SQL没啥区别与其用方法2自欺其人还不如直接拼接SQL来的实惠 方法3 受参数个数(做多2100个参数)限制，而且若传的参数过多性能如何有待验证，可以酌情使用 方法4 示例中采用的临时表，其实可以换成表变量性能也许会更好些，不过写法上有些繁琐，可以具体的封装成一个函数会好些(推荐) 方法5 使用xml传参，既然有这种类型说明性能上应该还不错，其它会比拼接SQL好很多，使用上也还比较方便，不过需要开发人员对xml查询有一定了解才行(推荐) 方法6 tvp方式sql server2008以后才可以使用，很好很强大，若只为where in 的话可以定义几个tvp where in问题就很容易解决了，而且是强类型也更容易理解(推荐) 不好去评论具体那种方法最好，还是那句老话合适的最好。