SqlCommand의 배열 매개 변수 전달

144

아래와 같이 C #에서 SQL commnd에 배열 매개 변수를 전달하려고하지만 작동하지 않습니다. 누구든지 전에 만난 적이 있습니까?

string sqlCommand = "SELECT * from TableA WHERE Age IN (@Age)";
SqlConnection sqlCon = new SqlConnection(connectString);
SqlCommand sqlComm = new SqlCommand();
sqlComm.Connection = sqlCon;
sqlComm.CommandType = System.Data.CommandType.Text;
sqlComm.CommandText = sqlCommand;
sqlComm.CommandTimeout = 300;
sqlComm.Parameters.Add("@Age", SqlDbType.NVarChar);
StringBuilder sb = new StringBuilder();
foreach (ListItem item in ddlAge.Items)
{
     if (item.Selected)
     {
         sb.Append(item.Text + ",");
     }
}

sqlComm.Parameters["@Age"].Value = sb.ToString().TrimEnd(',');

c# tsql

— 용 웨이 싱
소스

11

실제로 주제는 아니지만 Age를 테이블의 열로 사용하는 것은 좋지 않은 생각입니다. 계속 업데이트해야하기 때문입니다. 사람들이 더 나이가 들었나요? 어쩌면 대신 DateOfBirth 열을 고려해야합니까?

— Kjetil Watnedal

여기에 좋은 답변과 질문 : stackoverflow.com/questions/83471/...

— 아담 버틀러

169

한 번에 하나씩 배열에 값을 추가해야합니다.

var parameters = new string[items.Length];
var cmd = new SqlCommand();
for (int i = 0; i < items.Length; i++)
{
    parameters[i] = string.Format("@Age{0}", i);
    cmd.Parameters.AddWithValue(parameters[i], items[i]);
}

cmd.CommandText = string.Format("SELECT * from TableA WHERE Age IN ({0})", string.Join(", ", parameters));
cmd.Connection = new SqlConnection(connStr);

업데이트 : 여기에 Adam의 제안과 함께 제안 된 편집을 사용하는 확장 가능하고 재사용 가능한 솔루션이 있습니다. 나는 그것을 조금 개선하고 쉽게 호출 할 수 있도록 확장 방법으로 만들었습니다.

public static class SqlCommandExt
{

    /// <summary>
    /// This will add an array of parameters to a SqlCommand. This is used for an IN statement.
    /// Use the returned value for the IN part of your SQL call. (i.e. SELECT * FROM table WHERE field IN ({paramNameRoot}))
    /// </summary>
    /// <param name="cmd">The SqlCommand object to add parameters to.</param>
    /// <param name="paramNameRoot">What the parameter should be named followed by a unique value for each value. This value surrounded by {} in the CommandText will be replaced.</param>
    /// <param name="values">The array of strings that need to be added as parameters.</param>
    /// <param name="dbType">One of the System.Data.SqlDbType values. If null, determines type based on T.</param>
    /// <param name="size">The maximum size, in bytes, of the data within the column. The default value is inferred from the parameter value.</param>
    public static SqlParameter[] AddArrayParameters<T>(this SqlCommand cmd, string paramNameRoot, IEnumerable<T> values, SqlDbType? dbType = null, int? size = null)
    {
        /* An array cannot be simply added as a parameter to a SqlCommand so we need to loop through things and add it manually. 
         * Each item in the array will end up being it's own SqlParameter so the return value for this must be used as part of the
         * IN statement in the CommandText.
         */
        var parameters = new List<SqlParameter>();
        var parameterNames = new List<string>();
        var paramNbr = 1;
        foreach (var value in values)
        {
            var paramName = string.Format("@{0}{1}", paramNameRoot, paramNbr++);
            parameterNames.Add(paramName);
            SqlParameter p = new SqlParameter(paramName, value);
            if (dbType.HasValue)
                p.SqlDbType = dbType.Value;
            if (size.HasValue)
                p.Size = size.Value;
            cmd.Parameters.Add(p);
            parameters.Add(p);
        }

        cmd.CommandText = cmd.CommandText.Replace("{" + paramNameRoot + "}", string.Join(",", parameterNames));

        return parameters.ToArray();
    }

}

이렇게 불립니다 ...

var cmd = new SqlCommand("SELECT * FROM TableA WHERE Age IN ({Age})");
cmd.AddArrayParameters("Age", new int[] { 1, 2, 3 });

sql 문의 "{Age}"는 AddArrayParameters로 보내는 매개 변수 이름과 같습니다. AddArrayParameters는 값을 올바른 매개 변수로 대체합니다.

— 브라이언
소스

11

이 방법에는 SQL 주입과 같은 보안 문제가 있습니까?

— Yongwei Xing

7

값을 매개 변수에 넣기 때문에 SQL 삽입 위험이 없습니다.

— Brian

이것이 내가 찾던 것이지만 질문이 있습니다. OP에 SQL에 추가 할 동일한 열이 여러 개있는 경우 어떻게해야합니까? 예. 나이 = ({0}) 또는 나이 = ({1}) 인 테이블 A에서 *를 선택하십시오. (cmd.Parameters로 어떻게 할 것인가)

— Cocoa Dev

1

@ T2Tom, 으악. 나는 그것을 고쳤다. 감사.

— Brian

1

나는 이것을 좋아하고 자리 표시 자 문자열을 변수로 추출한 후에 만 다음과 같이 수정했습니다. var paramPlaceholder = "{" & paramNameRoot & "}"; Debug.Assert(cmd.CommandText.Contains(paramPlaceholder), "Parameter Name Root must exist in the Source Query"); 이것은 paramNameRoot와 쿼리를 일치시키는 것을 잊어 버린 경우 개발자에게 도움이됩니다.

— MCattle 2016 년

37

Brian이 다른 곳에서 쉽게 사용할 수 있도록 기여한 답변을 확장하고 싶었습니다.

/// <summary>
/// This will add an array of parameters to a SqlCommand. This is used for an IN statement.
/// Use the returned value for the IN part of your SQL call. (i.e. SELECT * FROM table WHERE field IN (returnValue))
/// </summary>
/// <param name="sqlCommand">The SqlCommand object to add parameters to.</param>
/// <param name="array">The array of strings that need to be added as parameters.</param>
/// <param name="paramName">What the parameter should be named.</param>
protected string AddArrayParameters(SqlCommand sqlCommand, string[] array, string paramName)
{
    /* An array cannot be simply added as a parameter to a SqlCommand so we need to loop through things and add it manually. 
     * Each item in the array will end up being it's own SqlParameter so the return value for this must be used as part of the
     * IN statement in the CommandText.
     */
    var parameters = new string[array.Length];
    for (int i = 0; i < array.Length; i++)
    {
        parameters[i] = string.Format("@{0}{1}", paramName, i);
        sqlCommand.Parameters.AddWithValue(parameters[i], array[i]);
    }

    return string.Join(", ", parameters);
}

이 새로운 기능을 다음과 같이 사용할 수 있습니다.

SqlCommand cmd = new SqlCommand();

string ageParameters = AddArrayParameters(cmd, agesArray, "Age");
sql = string.Format("SELECT * FROM TableA WHERE Age IN ({0})", ageParameters);

cmd.CommandText = sql;

편집 : 다음은 모든 유형의 값 배열과 함께 작동하며 확장 방법으로 사용할 수있는 일반적인 변형입니다.

public static class Extensions
{
    public static void AddArrayParameters<T>(this SqlCommand cmd, string name, IEnumerable<T> values) 
    { 
        name = name.StartsWith("@") ? name : "@" + name;
        var names = string.Join(", ", values.Select((value, i) => { 
            var paramName = name + i; 
            cmd.Parameters.AddWithValue(paramName, value); 
            return paramName; 
        })); 
        cmd.CommandText = cmd.CommandText.Replace(name, names); 
    }
}

그런 다음이 확장 방법을 다음과 같이 사용할 수 있습니다.

var ageList = new List<int> { 1, 3, 5, 7, 9, 11 };
var cmd = new SqlCommand();
cmd.CommandText = "SELECT * FROM MyTable WHERE Age IN (@Age)";    
cmd.AddArrayParameters("Age", ageList);

AddArrayParameters를 호출하기 전에 CommandText를 설정해야합니다.

또한 매개 변수 이름이 명령문의 다른 이름과 부분적으로 일치하지 않는지 확인하십시오 (예 : @AgeOfChild)

— 아담 로저스
소스

1

다음은 모든 유형의 값 배열과 함께 작동하고 확장 메서드로 사용할 수있는 일반적인 변형입니다. public static void AddArrayParameters <T> (this SqlCommand cmd, string name, IEnumerable <T> values) {var names = string.Join ( ",", values.Select ((value, i) => {var paramName = name + i; cmd.Parameters.AddWithValue (paramName, value); return paramName;})); cmd.CommandText = cmd.CommandText.Replace (이름, 이름); }

— Adam Nemitoff

이 답변의 사소한 문제는 AddWithValue기능 과 관련이 있습니다. 어쩌면 그 문제를 해결할 수 있습니까?

— DavidG

이 대답은 확장 성과 성능이 좋지 않고 잘못된 코딩 방식을 장려하기 때문에 잘못되었습니다.

— Igor Levicki

24

"dapper"와 같은 도구를 사용할 수 있다면 다음과 같습니다.

int[] ages = { 20, 21, 22 }; // could be any common list-like type
var rows = connection.Query<YourType>("SELECT * from TableA WHERE Age IN @ages",
          new { ages }).ToList();

Dapper는이를 개별 매개 변수 에 래핑 해제 처리 합니다 .

— 마크 그레이 벨
소스

Dapper는 많은 의존성을 가져옵니다. (

— mlt

@mlt 허? 아니요, 그렇지 않습니다. netfx에서 : "종속성이 없음"; ns2.0에서는 "System.Reflection.Emit.Lightweight"만 – necroreapp 대상을 추가 한 경우이를 제거 할 수 있습니다

— Marc Gravell

나는 토론을 가로 채려고하지는 않았지만 ... 지금까지 나는 '{1,2,3}'함수에 대한 스타일 인수 (WHERE IN 절이 아님)와 같이 배열을 잘 처리하는 Npgsql을 사용 하지만 그렇지 않은 경우 일반 ODBC를 사용합니다. 번거 로움. 이 경우에도 Dapper ODBC가 필요하다고 가정합니다. 여기에 당기고 싶은 것이 있습니다. snipboard.io/HU0RpJ.jpg . 아마도 Dapper에 대해 더 읽어야 할 것

— 같습니다

16

MS SQL Server 2008 이상을 사용하는 경우 http://www.sommarskog.se/arrays-in-sql-2008.html에 설명 된대로 테이블 값 매개 변수를 사용할 수 있습니다 . .

1. 사용할 각 매개 변수 유형에 대한 테이블 유형을 작성하십시오.

다음 명령은 정수에 대한 테이블 유형을 작성합니다.

create type int32_id_list as table (id int not null primary key)

2. 헬퍼 메소드 구현

public static SqlCommand AddParameter<T>(this SqlCommand command, string name, IEnumerable<T> ids)
{
  var parameter = command.CreateParameter();      

  parameter.ParameterName = name;
  parameter.TypeName = typeof(T).Name.ToLowerInvariant() + "_id_list";
  parameter.SqlDbType = SqlDbType.Structured;
  parameter.Direction = ParameterDirection.Input;

  parameter.Value = CreateIdList(ids);

  command.Parameters.Add(parameter);
  return command;
}

private static DataTable CreateIdList<T>(IEnumerable<T> ids)
{
  var table = new DataTable();
  table.Columns.Add("id", typeof (T));

  foreach (var id in ids)
  {
    table.Rows.Add(id);
  }

  return table;
}

3. 이렇게 사용하십시오

cmd.CommandText = "select * from TableA where Age in (select id from @age)"; 
cmd.AddParameter("@age", new [] {1,2,3,4,5});

— 그레고르 슬라 벡
소스

1

SonarQube를 사용할 때이 라인으로 table.Rows.Add(id);인해 약간의 코드 냄새 가납니다. foreach 내부에서이 대안을 사용했습니다 var row = table.NewRow(); row["id"] = id; table.Rows.Add(row);.

— pogosama

1

특히 더 많은 열을 허용하도록 채택 된 경우 허용되는 답변이어야합니다.

— Igor Levicki

10

에 방법이 있기 때문에

SqlCommand.Parameters.AddWithValue(parameterName, value)

대체 할 매개 변수 (이름)와 값 목록을 승인하는 메소드를 작성하는 것이 더 편리 할 수 있습니다. 그것은에없는 매개 변수 (같은 수준 AddWithValue )하지만 명령 자체에 그래서는 그것을 호출하는 것이 좋습니다 AddParametersWithValues 뿐 아니라 AddWithValues을 :

질문:

SELECT * from TableA WHERE Age IN (@age)

용법:

sqlCommand.AddParametersWithValues("@age", 1, 2, 3);

확장 방법 :

public static class SqlCommandExtensions
{
    public static void AddParametersWithValues<T>(this SqlCommand cmd,  string parameterName, params T[] values)
    {
        var parameterNames = new List<string>();
        for(int i = 0; i < values.Count(); i++)
        {
            var paramName = @"@param" + i;
            cmd.Parameters.AddWithValue(paramName, values.ElementAt(i));
            parameterNames.Add(paramName);
        }

        cmd.CommandText = cmd.CommandText.Replace(parameterName, string.Join(",", parameterNames));
    }
}

— 삼지창
소스

1

이 확장 방법의 여러 반복이 몇 가지 답변에 걸쳐있는 것처럼 보입니다. 나는 이것을 사용했다. 그래서 나는 그것을 찬성 투표하고있다 :-)

— Dan Forbes

매개 변수 이름에 정적 인덱스를 사용하는 것이 좋습니다

— shmnff

6

IN 연산자로 제한을 해결하는 다른 방법을 제안하고 싶습니다.

예를 들어 다음과 같은 쿼리가 있습니다.

select *
from Users U
WHERE U.ID in (@ids)

사용자를 필터링하기 위해 여러 ID를 전달하려고합니다. 불행히도 C #으로 쉽게 할 수는 없습니다. 그러나 "string_split"함수를 사용하여 이에 대한 해결 방법이 없습니다. 쿼리를 다음과 같이 약간 다시 작성해야합니다.

declare @ids nvarchar(max) = '1,2,3'

SELECT *
FROM Users as U
CROSS APPLY string_split(@ids, ',') as UIDS
WHERE U.ID = UIDS.value

이제 쉼표로 구분 된 값의 매개 변수 열거를 쉽게 전달할 수 있습니다.

— 사용자 2399170
소스

호환성이 최신 인 경우 내가 찾은 가장 깨끗하고 깨끗한 방법입니다.

— user1040975

4

쿼리가 형식을 취하기 때문에 항목 배열을 축소 된 매개 변수로 WHERE..IN 절에 전달하면 실패합니다. WHERE Age IN ("11, 13, 14, 16") 합니다.

그러나 매개 변수를 XML 또는 JSON으로 직렬화 된 배열로 전달할 수 있습니다.

`nodes()`방법을 사용하여 :

StringBuilder sb = new StringBuilder();

foreach (ListItem item in ddlAge.Items)
  if (item.Selected)
    sb.Append("<age>" + item.Text + "</age>"); // actually it's xml-ish

sqlComm.CommandText = @"SELECT * from TableA WHERE Age IN (
    SELECT Tab.col.value('.', 'int') as Age from @Ages.nodes('/age') as Tab(col))";
sqlComm.Parameters.Add("@Ages", SqlDbType.NVarChar);
sqlComm.Parameters["@Ages"].Value = sb.ToString();

`OPENXML`방법을 사용하여 :

using System.Xml.Linq;
...
XElement xml = new XElement("Ages");

foreach (ListItem item in ddlAge.Items)
  if (item.Selected)
    xml.Add(new XElement("age", item.Text);

sqlComm.CommandText = @"DECLARE @idoc int;
    EXEC sp_xml_preparedocument @idoc OUTPUT, @Ages;
    SELECT * from TableA WHERE Age IN (
    SELECT Age from OPENXML(@idoc, '/Ages/age') with (Age int 'text()')
    EXEC sp_xml_removedocument @idoc";
sqlComm.Parameters.Add("@Ages", SqlDbType.Xml);
sqlComm.Parameters["@Ages"].Value = xml.ToString();

그것은 SQL 측면에서 조금 더 많으며 적절한 XML (루트 포함)이 필요합니다.

`OPENJSON`방법 사용 (SQL Server 2016+) :

using Newtonsoft.Json;
...
List<string> ages = new List<string>();

foreach (ListItem item in ddlAge.Items)
  if (item.Selected)
    ages.Add(item.Text);

sqlComm.CommandText = @"SELECT * from TableA WHERE Age IN (
    select value from OPENJSON(@Ages))";
sqlComm.Parameters.Add("@Ages", SqlDbType.NVarChar);
sqlComm.Parameters["@Ages"].Value = JsonConvert.SerializeObject(ages);

마지막 방법의 경우 호환성 수준도 130 이상이어야합니다.

— 루카스 마티시 아크
소스

0

개요 : DbType을 사용하여 매개 변수 유형을 설정하십시오.

var parameter = new SqlParameter();
parameter.ParameterName = "@UserID";
parameter.DbType = DbType.Int32;
parameter.Value = userID.ToString();

var command = conn.CreateCommand()
command.Parameters.Add(parameter);
var reader = await command.ExecuteReaderAsync()

— 황금 사자
소스

-1

를 사용하십시오 .AddWithValue().

sqlComm.Parameters.AddWithValue("@Age", sb.ToString().TrimEnd(','));

또는 이것을 사용할 수 있습니다 :

sqlComm.Parameters.Add(
    new SqlParameter("@Age", sb.ToString().TrimEnd(',')) { SqlDbType = SqlDbType. NVarChar }
    );

총 코드 샘플은 다음과 같습니다.

string sqlCommand = "SELECT * from TableA WHERE Age IN (@Age)";
SqlConnection sqlCon = new SqlConnection(connectString);
SqlCommand sqlComm = new SqlCommand();
sqlComm.Connection = sqlCon;
sqlComm.CommandType = System.Data.CommandType.Text;
sqlComm.CommandText = sqlCommand;
sqlComm.CommandTimeout = 300;

StringBuilder sb = new StringBuilder();
foreach (ListItem item in ddlAge.Items)
{
     if (item.Selected)
     {
         sb.Append(item.Text + ",");
     }
}

sqlComm.Parameters.AddWithValue("@Age", sb.ToString().TrimEnd(','));

// OR

// sqlComm.Parameters.Add(new SqlParameter("@Age", sb.ToString().TrimEnd(',')) { SqlDbType = SqlDbType. NVarChar });

— 카일로 센도
소스

Age 필드의 타입은 nvchar not int입니다. 그게 그렇게 중요한 건가?

— Yongwei Xing

해서는 안됩니다. 특히 두 번째 방법으로. 유형을 명시 적으로 지정하십시오.

— Kyle Rosendo

두 가지 방법을 모두 사용하지만 여전히 작동하지 않습니다. 보안 문제를 일으킬 수있는 문자열을 조작하고 싶지 않습니다.

— Yongwei Xing

난 정말 당신을 이해하지 않습니다. 작동하지 않는다고 말하면 예외가 발생합니까? 무엇을합니까?

— Kyle Rosendo

1

예외를 던지지 않고 아무것도 반환하지 않습니다. 그러나 Studio Management에서 T-SQL을 실행하면 많은 결과가 반환됩니다.

— Yongwei Xing

-1

다음은 다른 사람이 유용하다고 생각할 수있는 Brian의 답변 중 일부입니다. 키 목록을 가져 와서 매개 변수 목록에 놓습니다.

//keyList is a List<string>
System.Data.SqlClient.SqlCommand command = new System.Data.SqlClient.SqlCommand();
string sql = "SELECT fieldList FROM dbo.tableName WHERE keyField in (";
int i = 1;
foreach (string key in keyList) {
    sql = sql + "@key" + i + ",";
    command.Parameters.AddWithValue("@key" + i, key);
    i++;
}
sql = sql.TrimEnd(',') + ")";

— 제프
소스

이 대답은 확장 성과 성능이 좋지 않고 잘못된 코딩 방식을 장려하기 때문에 잘못되었습니다.

— Igor Levicki

-3

시험

sqlComm.Parameters["@Age"].Value = sb.ToString().Replace(","," ");

— 발린
소스

-5

이렇게 해봐

StringBuilder sb = new StringBuilder(); 
foreach (ListItem item in ddlAge.Items) 
{ 
     if (item.Selected) 
     { 
          string sqlCommand = "SELECT * from TableA WHERE Age IN (@Age)"; 
          SqlConnection sqlCon = new SqlConnection(connectString); 
          SqlCommand sqlComm = new SqlCommand(); 
          sqlComm.Connection = sqlCon; 
          sqlComm.CommandType = System.Data.CommandType.Text; 
          sqlComm.CommandText = sqlCommand; 
          sqlComm.CommandTimeout = 300; 
          sqlComm.Parameters.Add("@Age", SqlDbType.NVarChar);
          sb.Append(item.Text + ","); 
          sqlComm.Parameters["@Age"].Value = sb.ToString().TrimEnd(',');
     } 
}

— 발린
소스

2

왜 SqlConnection과 SqlCommnad를 루프에 넣습니까?

— Yongwei Xing

SqlCommand의 배열 매개 변수 전달

1. 사용할 각 매개 변수 유형에 대한 테이블 유형을 작성하십시오.

2. 헬퍼 메소드 구현

3. 이렇게 사용하십시오

nodes()방법을 사용하여 :

OPENXML방법을 사용하여 :

OPENJSON방법 사용 (SQL Server 2016+) :

`nodes()`방법을 사용하여 :

`OPENXML`방법을 사용하여 :

`OPENJSON`방법 사용 (SQL Server 2016+) :