Pass Paramètre de Tableau dans SqlCommand

Je suis en train de passer de la matrice de paramètre SQL commnd en C# comme ci-dessous, mais il ne fonctionne pas. Personne ne rencontrer avant?

string sqlCommand = "SELECT * from TableA WHERE Age IN (@Age)";
SqlConnection sqlCon = new SqlConnection(connectString);
SqlCommand sqlComm = new SqlCommand();
sqlComm.Connection = sqlCon;
sqlComm.CommandType = System.Data.CommandType.Text;
sqlComm.CommandText = sqlCommand;
sqlComm.CommandTimeout = 300;
sqlComm.Parameters.Add("@Age", SqlDbType.NVarChar);
StringBuilder sb = new StringBuilder();
foreach (ListItem item in ddlAge.Items)
{
     if (item.Selected)
     {
         sb.Append(item.Text + ",");
     }
}

sqlComm.Parameters["@Age"].Value = sb.ToString().TrimEnd(',');

Pas vraiment le sujet, mais il me semble avoir l'Âge comme une colonne dans une table est une mauvaise idée, car elle devra être mise à jour en permanence. Les gens vieillissent, droit? Peut-être vous devriez envisager d'avoir une colonne DateOfBirth à la place?
question avec la bonne réponse ici: stackoverflow.com/questions/83471/...

InformationsquelleAutor Yongwei Xing | 2010-03-04

c#tsql

145

Vous aurez besoin d'ajouter les valeurs dans le tableau une à une.
```
var parameters = new string[items.Length];
var cmd = new SqlCommand();
for (int i = 0; i < items.Length; i++)
{
    parameters[i] = string.Format("@Age{0}", i);
    cmd.Parameters.AddWithValue(parameters[i], items[i]);
}

cmd.CommandText = string.Format("SELECT * from TableA WHERE Age IN ({0})", string.Join(", ", parameters));
cmd.Connection = new SqlConnection(connStr);
```
Mise à JOUR: Ici est une longue et réutilisables solution qui utilise Adam réponse de la avec son a suggéré de modifier. J'ai amélioré un peu et en fait une méthode d'extension pour le rendre encore plus facile d'appeler.
```
public static class SqlCommandExt
{

    ///<summary>
    ///This will add an array of parameters to a SqlCommand. This is used for an IN statement.
    ///Use the returned value for the IN part of your SQL call. (i.e. SELECT * FROM table WHERE field IN ({paramNameRoot}))
    ///</summary>
    ///<param name="cmd">The SqlCommand object to add parameters to.</param>
    ///<param name="paramNameRoot">What the parameter should be named followed by a unique value for each value. This value surrounded by {} in the CommandText will be replaced.</param>
    ///<param name="values">The array of strings that need to be added as parameters.</param>
    ///<param name="dbType">One of the System.Data.SqlDbType values. If null, determines type based on T.</param>
    ///<param name="size">The maximum size, in bytes, of the data within the column. The default value is inferred from the parameter value.</param>
    public static SqlParameter[] AddArrayParameters<T>(this SqlCommand cmd, string paramNameRoot, IEnumerable<T> values, SqlDbType? dbType = null, int? size = null)
    {
        /* An array cannot be simply added as a parameter to a SqlCommand so we need to loop through things and add it manually. 
         * Each item in the array will end up being it's own SqlParameter so the return value for this must be used as part of the
         * IN statement in the CommandText.
         */
        var parameters = new List<SqlParameter>();
        var parameterNames = new List<string>();
        var paramNbr = 1;
        foreach (var value in values)
        {
            var paramName = string.Format("@{0}{1}", paramNameRoot, paramNbr++);
            parameterNames.Add(paramName);
            SqlParameter p = new SqlParameter(paramName, value);
            if (dbType.HasValue)
                p.SqlDbType = dbType.Value;
            if (size.HasValue)
                p.Size = size.Value;
            cmd.Parameters.Add(p);
            parameters.Add(p);
        }

        cmd.CommandText = cmd.CommandText.Replace("{" + paramNameRoot + "}", string.Join(",", parameterNames));

        return parameters.ToArray();
    }

}
```
Il est appelé comme ça...
```
var cmd = new SqlCommand("SELECT * FROM TableA WHERE Age IN ({Age})");
cmd.AddArrayParameters("Age", new int[] { 1, 2, 3 });
```
Avis de la "{Age}" dans l'instruction sql est le même que le nom du paramètre que nous adressons à AddArrayParameters. AddArrayParameters remplacera la valeur avec les paramètres corrects.
- Cette méthode ont le problème de sécurité, comme l'injection sql?
- Parce que vous de mettre les valeurs dans les paramètres il n'y a pas de risque d'injection sql.
- C'est ce que je cherchais, mais j'avais une question. Si l'OP a plusieurs de la même colonnes à ajouter à la SQL, comment pourrions-nous faire cela? Exemple. SELECT * from TableA OÙ l'Âge = ({0}) OU de l'Âge = ({1}). (comment pourrions-nous le faire avec la commande cmd.Les paramètres)
- Ma réponse est pour ajouter les valeurs d'un tableau en paramètre à votre instruction sql. Basé sur votre sql, vous avez juste besoin régulier de paramètres nommés. "SELECT * from TableA OÙ l'Âge = @Âge1 OU de l'Âge = @Âge2"
- Visual Studio jette un CA2100 avertissement sur la méthode d'extension: cmd.CommandText = cmd.CommandText.Replace("{" + paramNameRoot + "}", string.Join(séparateur, parameterNames));
- Il est sûr d'ignorer l'avertissement. L'avertissement est destiné à vous aider à éviter les injection sql, mais il n'y a aucune chance que ça avec ce code. En fait, le but de ce code est d'aider à éviter les injection sql.
- Grande réponse @Brian! Souhaitez suggérer une modification mineure. Dans le dernier bloc de code il dit varcmd = new SqlCommand("SELECT * FROM TableA WHERE Age IN ({Age})"); je pense que tu veux dire var cmd = new SqlCommand("SELECT * FROM TableA WHERE Age IN ({Age})"); (avec un espace entre var et cmd). Je ne peux pas le modifier depuis le changement est trop mineur. Espérons que cela permettra d'économiser un débutant comme moi quelques minutes à essayer de trouver la réponse.
- Oups. Je l'ai corrigé. Merci.
- J'aime cela, et seulement apporté la modification suivante après l'extraction de la chaîne d'espace réservé à une variable: var paramPlaceholder = "{" & paramNameRoot & "}"; Debug.Assert(cmd.CommandText.Contains(paramPlaceholder), "Parameter Name Root must exist in the Source Query"); Cela devrait aider les devs s'il oublie de match paramNameRoot avec la requête.
- C'est une mauvaise approche, Table de paramètre doit être utilisé https://stackoverflow.com/a/10409710/1565525
- Problème mineur avec cette réponse, c'est avec le AddWithValue de la fonction, toute chance vous pourriez résoudre ce problème?
- J'ai pris un coup d'oeil rapide à la AddWithValue fonction et rien ne m'a sauté aux yeux comme incorrecte. Pouvez-vous être plus précis? Comme une note, c'est basé sur .Net 4.x, de sorte que peut-être il y a une différence due à l' .Version Net?
- Tout est dans le lien que je vous ai donné. La partie qui ne vous comprennent pas?
- elle lève une exception lorsque des éléments sont là. exception est la suivante : syntaxe Incorrecte près de ')'. la solution est nécessaire de vérifier si il y a des articles ou pas, si non, alors pas besoin d'avoir "DANS ({0})" dans le cadre de l'instruction sql.
InformationsquelleAutor Brian

Je voulais étendre sur la réponse que Brian a contribué à les rendre facilement utilisables dans d'autres endroits.

///<summary>
///This will add an array of parameters to a SqlCommand. This is used for an IN statement.
///Use the returned value for the IN part of your SQL call. (i.e. SELECT * FROM table WHERE field IN (returnValue))
///</summary>
///<param name="sqlCommand">The SqlCommand object to add parameters to.</param>
///<param name="array">The array of strings that need to be added as parameters.</param>
///<param name="paramName">What the parameter should be named.</param>
protected string AddArrayParameters(SqlCommand sqlCommand, string[] array, string paramName)
{
    /* An array cannot be simply added as a parameter to a SqlCommand so we need to loop through things and add it manually. 
     * Each item in the array will end up being it's own SqlParameter so the return value for this must be used as part of the
     * IN statement in the CommandText.
     */
    var parameters = new string[array.Length];
    for (int i = 0; i < array.Length; i++)
    {
        parameters[i] = string.Format("@{0}{1}", paramName, i);
        sqlCommand.Parameters.AddWithValue(parameters[i], array[i]);
    }

    return string.Join(", ", parameters);
}

Vous pouvez utiliser cette nouvelle fonction comme suit:

SqlCommand cmd = new SqlCommand();

string ageParameters = AddArrayParameters(cmd, agesArray, "Age");
sql = string.Format("SELECT * FROM TableA WHERE Age IN ({0})", ageParameters);

cmd.CommandText = sql;

Edit:
Voici un générique variation qui fonctionne avec un tableau de valeurs de tout type et est utilisable comme une extension de la méthode:

public static class Extensions
{
    public static void AddArrayParameters<T>(this SqlCommand cmd, string name, IEnumerable<T> values) 
    { 
        name = name.StartsWith("@") ? name : "@" + name;
        var names = string.Join(", ", values.Select((value, i) => { 
            var paramName = name + i; 
            cmd.Parameters.AddWithValue(paramName, value); 
            return paramName; 
        })); 
        cmd.CommandText = cmd.CommandText.Replace(name, names); 
    }
}

Vous pouvez ensuite utiliser cette méthode d'extension comme suit:

var ageList = new List<int> { 1, 3, 5, 7, 9, 11 };
var cmd = new SqlCommand();
cmd.CommandText = "SELECT * FROM MyTable WHERE Age IN (@Age)";    
cmd.AddArrayParameters("Age", ageList);

Assurez-vous de définir le CommandText avant d'appeler AddArrayParameters.

Aussi assurez-vous que votre nom de paramètre ne sera pas partiellement correspondre à quelque chose d'autre dans votre déclaration (c'est à dire @AgeOfChild)

Voici un générique variation qui fonctionne avec le tableau de valeurs de tout type et est utilisable comme une extension de la méthode: public static void AddArrayParameters<T>( ce SqlCommand cmd, string nom, IEnumerable<T> valeur) { var noms = string.Join(", ", des valeurs.Sélectionnez((valeur, i) => { var paramName = nom + i; cmd.Les paramètres.AddWithValue(paramName, valeur); return paramName; })); cmd.CommandText = cmd.CommandText.Replace(nom, nom); }
Problème mineur avec cette réponse, c'est avec le AddWithValue de la fonction, toute chance vous pourriez résoudre ce problème?

InformationsquelleAutor J Adam Rogers

Si vous pouvez utiliser un outil comme "dapper", cela peut être tout simplement:

int[] ages = { 20, 21, 22 }; //could be any common list-like type
var rows = connection.Query<YourType>("SELECT * from TableA WHERE Age IN @ages",
          new { ages }).ToList();

Dapper traitera de déballage de ce des paramètres individuels pour vous.

InformationsquelleAutor Marc Gravell

Si vous utilisez MS SQL Server 2008 et au-dessus, vous pouvez utiliser les paramètres de la table comme décrit ici
http://www.sommarskog.se/arrays-in-sql-2008.html.

1. Créer une table pour chaque type de paramètre que vous allez utiliser

La commande suivante crée un type de table pour les entiers:

create type int32_id_list as table (id int not null primary key)

2. Mettre en œuvre des méthodes d'assistance

public static SqlCommand AddParameter<T>(this SqlCommand command, string name, IEnumerable<T> ids)
{
  var parameter = command.CreateParameter();      

  parameter.ParameterName = name;
  parameter.TypeName = typeof(T).Name.ToLowerInvariant() + "_id_list";
  parameter.SqlDbType = SqlDbType.Structured;
  parameter.Direction = ParameterDirection.Input;

  parameter.Value = CreateIdList(ids);

  command.Parameters.Add(parameter);
  return command;
}

private static DataTable CreateIdList<T>(IEnumerable<T> ids)
{
  var table = new DataTable();
  table.Columns.Add("id", typeof (T));

  foreach (var id in ids)
  {
    table.Rows.Add(id);
  }

  return table;
}

3. L'utilisation de cette

cmd.CommandText = "select * from TableA where Age in (select id from @age)"; 
cmd.AddParameter("@age", new [] {1,2,3,4,5});

La ligne table.Rows.Add(id); résultats dans un légère odeur de code lors de l'utilisation de SonarQube. J'ai utilisé cette solution de rechange à l'intérieur de la boucle foreach: var row = table.NewRow(); row["id"] = id; table.Rows.Add(row);.

InformationsquelleAutor Gregor Slavec

Puisqu'il s'agit d'une méthode sur

SqlCommand.Parameters.AddWithValue(parameterName, value)

il peut être plus pratique de créer une méthode d'accepter un paramètre (nom), afin de remplacer et d'une liste de valeurs. Il n'est pas sur la Paramètres niveau (comme AddWithValue) mais sur la commande elle-même donc c'est mieux de l'appeler AddParametersWithValues et pas seulement AddWithValues:

requête:

SELECT * from TableA WHERE Age IN (@age)

utilisation:

sqlCommand.AddParametersWithValues("@age", 1, 2, 3);

la méthode d'extension:

public static class SqlCommandExtensions
{
    public static void AddParametersWithValues<T>(this SqlCommand cmd,  string parameterName, params T[] values)
    {
        var parameterNames = new List<string>();
        for(int i = 0; i < values.Count(); i++)
        {
            var paramName = @"@param" + i;
            cmd.Parameters.AddWithValue(paramName, values.ElementAt(i));
            parameterNames.Add(paramName);
        }

        cmd.CommandText = cmd.CommandText.Replace(parameterName, string.Join(",", parameterNames));
    }
}

Il ressemble à plusieurs itérations de cette méthode d'extension existent à travers quelques réponses. J'ai utilisé celui-ci, cependant, de sorte que je suis jusqu'à droit de vote il 🙂

InformationsquelleAutor tridy

3

Je veux proposer une autre façon de résoudre la limitation DE l'opérateur.

Par exemple, nous avons requête suivante
```
select *
from Users U
WHERE U.ID in (@ids)
```
Nous voulons passer plusieurs IDs pour filtrer les utilisateurs. Malheureusement, il n'est pas possible de le faire avec C# en mode facile. Mais j'ai de mouillage solution de contournement pour cela, utilisez les "string_split" de la fonction. Nous avons besoin de réécrire un peu notre requête suivante.
```
declare @ids nvarchar(max) = '1,2,3'

SELECT *
FROM Users as U
CROSS APPLY string_split(@ids, ',') as UIDS
WHERE U.ID = UIDS.value
```
Maintenant, nous pouvons facilement passer d'un paramètre énumération de valeurs séparées par des virgules.
- cette réponse est la bonne, plutôt que de faire une tâche complexe
InformationsquelleAutor user2399170

Le passage d'un tableau d'éléments comme un effondrement de l'paramètre à la OÙ..DANS la clause échoue, car requête forme de WHERE Age IN ("11, 13, 14, 16").

Mais vous pouvez passer votre paramètre sous la forme d'un tableau sérialisé en XML ou JSON:

À l'aide de `nodes()` méthode:

StringBuilder sb = new StringBuilder();

foreach (ListItem item in ddlAge.Items)
  if (item.Selected)
    sb.Append("<age>" + item.Text + "</age>"); //actually it's xml-ish

sqlComm.CommandText = @"SELECT * from TableA WHERE Age IN (
    SELECT Tab.col.value('.', 'int') as Age from @Ages.nodes('/age') as Tab(col))";
sqlComm.Parameters.Add("@Ages", SqlDbType.NVarChar);
sqlComm.Parameters["@Ages"].Value = sb.ToString();

À l'aide de `OPENXML` méthode:

using System.Xml.Linq;
...
XElement xml = new XElement("Ages");

foreach (ListItem item in ddlAge.Items)
  if (item.Selected)
    xml.Add(new XElement("age", item.Text);

sqlComm.CommandText = @"DECLARE @idoc int;
    EXEC sp_xml_preparedocument @idoc OUTPUT, @Ages;
    SELECT * from TableA WHERE Age IN (
    SELECT Age from OPENXML(@idoc, '/Ages/age') with (Age int 'text()')
    EXEC sp_xml_removedocument @idoc";
sqlComm.Parameters.Add("@Ages", SqlDbType.Xml);
sqlComm.Parameters["@Ages"].Value = xml.ToString();

C'est un peu plus sur le SQL côté et vous avez besoin d'un XML (avec la racine).

À l'aide de `OPENJSON` méthode (SQL Server 2016+):

using Newtonsoft.Json;
...
List<string> ages = new List<string>();

foreach (ListItem item in ddlAge.Items)
  if (item.Selected)
    ages.Add(item.Text);

sqlComm.CommandText = @"SELECT * from TableA WHERE Age IN (
    select value from OPENJSON(@Ages))";
sqlComm.Parameters.Add("@Ages", SqlDbType.NVarChar);
sqlComm.Parameters["@Ages"].Value = JsonConvert.SerializeObject(ages);

Noter que pour la dernière méthode, vous devez également vous assurer une Compatibilité à 130+.

InformationsquelleAutor Lukasz Matysiak

-1

Utilisation .AddWithValue(), Donc:

sqlComm.Parameters.AddWithValue("@Age", sb.ToString().TrimEnd(','));

Sinon, vous pouvez utiliser ceci:

sqlComm.Parameters.Add(
    new SqlParameter("@Age", sb.ToString().TrimEnd(',')) { SqlDbType = SqlDbType. NVarChar }
    );

Votre total de l'exemple de code regarder en suit:

string sqlCommand = "SELECT * from TableA WHERE Age IN (@Age)";
SqlConnection sqlCon = new SqlConnection(connectString);
SqlCommand sqlComm = new SqlCommand();
sqlComm.Connection = sqlCon;
sqlComm.CommandType = System.Data.CommandType.Text;
sqlComm.CommandText = sqlCommand;
sqlComm.CommandTimeout = 300;

StringBuilder sb = new StringBuilder();
foreach (ListItem item in ddlAge.Items)
{
     if (item.Selected)
     {
         sb.Append(item.Text + ",");
     }
}

sqlComm.Parameters.AddWithValue("@Age", sb.ToString().TrimEnd(','));

//OR

//sqlComm.Parameters.Add(new SqlParameter("@Age", sb.ToString().TrimEnd(',')) { SqlDbType = SqlDbType. NVarChar });

J'ai essayé celui-ci, ne fonctionne pas.
Le champ est de type nvchar pas int. Est-il question?
Il ne devrait pas. Surtout avec la seconde méthode. Vous spécifiez le type de manière explicite.
J'utilise à la fois la méthode, cela ne fonctionne toujours pas. Je ne veux pas manipuler la chaîne qui peuvent led problème de sécurité
Je ne suis pas vraiment à vous comprendre. Quand vous dites que ça ne fonctionne pas, est-il lever une exception? Que faut-il faire?
il ne lève pas d'exception, il renvoie rien. Mais je lance le T-SQL dans la Gestion de Studio, elle renvoie le nombre de résultats.

InformationsquelleAutor Kyle Rozendo

-2

essayer

sqlComm.Parameters["@Age"].Value = sb.ToString().Replace(","," ");

InformationsquelleAutor Ballin

-3

essayer comme ça

StringBuilder sb = new StringBuilder(); 
foreach (ListItem item in ddlAge.Items) 
{ 
     if (item.Selected) 
     { 
          string sqlCommand = "SELECT * from TableA WHERE Age IN (@Age)"; 
          SqlConnection sqlCon = new SqlConnection(connectString); 
          SqlCommand sqlComm = new SqlCommand(); 
          sqlComm.Connection = sqlCon; 
          sqlComm.CommandType = System.Data.CommandType.Text; 
          sqlComm.CommandText = sqlCommand; 
          sqlComm.CommandTimeout = 300; 
          sqlComm.Parameters.Add("@Age", SqlDbType.NVarChar);
          sb.Append(item.Text + ","); 
          sqlComm.Parameters["@Age"].Value = sb.ToString().TrimEnd(',');
     } 
}

Pourquoi mettre de l'occurrence de SqlConnection et SqlCommnad dans la boucle?

InformationsquelleAutor Ballin

Vous devez vous connecter pour publier un commentaire.

1. Créer une table pour chaque type de paramètre que vous allez utiliser

2. Mettre en œuvre des méthodes d'assistance

3. L'utilisation de cette

À l'aide de nodes() méthode:

À l'aide de OPENXML méthode:

À l'aide de OPENJSON méthode (SQL Server 2016+):

À l'aide de `nodes()` méthode:

À l'aide de `OPENXML` méthode:

À l'aide de `OPENJSON` méthode (SQL Server 2016+):