参数化动态SQL查询

Question

我有一个要存储在列表中的关键字列表。

要从表中获取记录，请使用以下查询：

sqlBuilder.Append("SELECT name, memberid FROM members WHERE");
StringBuilder sqlBuilder = new StringBuilder();
foreach (string item in keywords)
            {
            sqlBuilder.AppendFormat(" LOWER(Name) LIKE '%{0}%' AND", item); 
            }
string sql = sqlBuilder.ToString();

您可能已经注意到，我的查询容易受到sql注入的攻击，因此我想通过SqlCommand（）使用参数。 我已经尝试了以下方法，但仍然无法正常工作：

foreach (string item in keywords)
            {    
                sqlBuilder.AppendFormat(" LOWER(Name) LIKE '%' + @searchitem + '%' AND", item);
                SqlCommand cmd = new SqlCommand(sqlBuilder.ToString());
                cmd.Parameters.AddWithValue("@searchitem",item);
             }

我在哪里犯错，或更确切地说，我应该如何解决？

Answer 1

您在这里做错了几件事：

• 您为所有参数赋予相同的名称@searchitem 。 那行不通。 参数需要唯一的名称。
• 您为每个项目创建一个新的SqlCommand。 那行不通。 在循环开始时创建一次 SqlCommand，然后在创建完SQL后设置CommandText 。
• 您的SQL以AND结束，这是无效的语法。

改进建议（本质上没有错，但也不是最佳实践）：

• 正如Frederik所建议的那样，通常的方法是将%标记放入参数中，而不是在SQL内部进行字符串连接。
• 除非您为数据库明确使用区分大小写的排序规则，否则比较应该不区分大小写。 因此，您可能不需要LOWER 。

代码示例：

SqlCommand cmd = new SqlCommand();
StringBuilder sqlBuilder = new StringBuilder();
sqlBuilder.Append("SELECT name, memberid FROM members ");

var i = 1;
foreach (string item in keywords)
{
    sqlBuilder.Append(i == 1 ? " WHERE " : " AND ");
    var paramName = "@searchitem" + i.ToString();
    sqlBuilder.AppendFormat(" Name LIKE {0} ", paramName); 
    cmd.Parameters.AddWithValue(paramName, "%" + item + "%");

    i++;
}
cmd.CommandText = sqlBuilder.ToString();

Answer 2

不要将通配符放在查询字符串中，而是将它们添加到参数值中：

sql = "SELECT name FROM members WHERE Name LIKE @p_name";
...
cmd.Parameters.AddWithValue("@p_name", "%" + item + "%");

当您在查询字符串中添加通配符时，该参数将被转义，但通配符不会。 这将导致查询发送到数据库，如下所示：

SELECT name FROM members WHERE Name LIKE %'somename'%

这显然是不正确的。

紧接着，您将在不必要的循环中创建SqlCommand。 另外，由于要在循环中添加参数，因此要使用非唯一名称创建参数，并且该参数始终具有相同的名称。 退出循环时，还需要删除最后一个AND关键字。