SqlCommandで配列パラメーターを渡す

144

以下のようなC＃でSQLコマンドに配列パラメーターを渡そうとしていますが、機能しません。誰かが以前にそれを満たしていますか？

string sqlCommand = "SELECT * from TableA WHERE Age IN (@Age)";
SqlConnection sqlCon = new SqlConnection(connectString);
SqlCommand sqlComm = new SqlCommand();
sqlComm.Connection = sqlCon;
sqlComm.CommandType = System.Data.CommandType.Text;
sqlComm.CommandText = sqlCommand;
sqlComm.CommandTimeout = 300;
sqlComm.Parameters.Add("@Age", SqlDbType.NVarChar);
StringBuilder sb = new StringBuilder();
foreach (ListItem item in ddlAge.Items)
{
     if (item.Selected)
     {
         sb.Append(item.Text + ",");
     }
}

sqlComm.Parameters["@Age"].Value = sb.ToString().TrimEnd(',');

c# tsql

— 永偉興
ソース

11

本当のトピックではありませんが、Ageをテーブルの列として使用することは好ましくないようです。常に更新する必要があるためです。人々は年を取りましたよね？代わりに、列DateOfBirthを検討する必要がありますか？

— Kjetil Watnedal 2010年

ここでは良い答えと質問：stackoverflow.com/questions/83471/...

— アダム・バトラー

168

配列の値を1つずつ追加する必要があります。

var parameters = new string[items.Length];
var cmd = new SqlCommand();
for (int i = 0; i < items.Length; i++)
{
    parameters[i] = string.Format("@Age{0}", i);
    cmd.Parameters.AddWithValue(parameters[i], items[i]);
}

cmd.CommandText = string.Format("SELECT * from TableA WHERE Age IN ({0})", string.Join(", ", parameters));
cmd.Connection = new SqlConnection(connStr);

更新：アダムの答えと彼の提案された編集を使用する拡張された再利用可能なソリューションを次に示します。私はそれを少し改善し、それを呼び出しやすくするために拡張メソッドにしました。

public static class SqlCommandExt
{

    /// <summary>
    /// This will add an array of parameters to a SqlCommand. This is used for an IN statement.
    /// Use the returned value for the IN part of your SQL call. (i.e. SELECT * FROM table WHERE field IN ({paramNameRoot}))
    /// </summary>
    /// <param name="cmd">The SqlCommand object to add parameters to.</param>
    /// <param name="paramNameRoot">What the parameter should be named followed by a unique value for each value. This value surrounded by {} in the CommandText will be replaced.</param>
    /// <param name="values">The array of strings that need to be added as parameters.</param>
    /// <param name="dbType">One of the System.Data.SqlDbType values. If null, determines type based on T.</param>
    /// <param name="size">The maximum size, in bytes, of the data within the column. The default value is inferred from the parameter value.</param>
    public static SqlParameter[] AddArrayParameters<T>(this SqlCommand cmd, string paramNameRoot, IEnumerable<T> values, SqlDbType? dbType = null, int? size = null)
    {
        /* An array cannot be simply added as a parameter to a SqlCommand so we need to loop through things and add it manually. 
         * Each item in the array will end up being it's own SqlParameter so the return value for this must be used as part of the
         * IN statement in the CommandText.
         */
        var parameters = new List<SqlParameter>();
        var parameterNames = new List<string>();
        var paramNbr = 1;
        foreach (var value in values)
        {
            var paramName = string.Format("@{0}{1}", paramNameRoot, paramNbr++);
            parameterNames.Add(paramName);
            SqlParameter p = new SqlParameter(paramName, value);
            if (dbType.HasValue)
                p.SqlDbType = dbType.Value;
            if (size.HasValue)
                p.Size = size.Value;
            cmd.Parameters.Add(p);
            parameters.Add(p);
        }

        cmd.CommandText = cmd.CommandText.Replace("{" + paramNameRoot + "}", string.Join(",", parameterNames));

        return parameters.ToArray();
    }

}

このように呼ばれています...

var cmd = new SqlCommand("SELECT * FROM TableA WHERE Age IN ({Age})");
cmd.AddArrayParameters("Age", new int[] { 1, 2, 3 });

sqlステートメントの「{Age}」は、AddArrayParametersに送信するパラメーター名と同じであることに注意してください。AddArrayParametersは、値を正しいパラメーターに置き換えます。

— ブライアン
ソース

11

この方法には、SQLインジェクションのようなセキュリティの問題がありますか？

— Yongwei Xing

7

値をパラメーターに入れているため、SQLインジェクションのリスクはありません。

— ブライアン

これは私が探していたものですが、質問がありました。OPにSQLに追加する同じ列がいくつかある場合、どうすればよいでしょうか？例。SELECT * FROM TableA WHERE Age =（{0}）OR Age =（{1}）。（cmd.Parametersでどのように実行するか）

— Cocoa Dev

1

@ T2Tom、おっと。それを私が直した。ありがとう。

— ブライアン

1

私はこれが好きで、プレースホルダー文字列を変数に抽出した後にのみ次の変更を加えました。var paramPlaceholder = "{" & paramNameRoot & "}"; Debug.Assert(cmd.CommandText.Contains(paramPlaceholder), "Parameter Name Root must exist in the Source Query"); これは、開発者がparamNameRootをクエリと照合するのを忘れた場合に役立つはずです。

— MCattle 2016年

37

私は、ブライアンが他の場所でこれを簡単に使用できるようにするために貢献したという答えを拡張したいと思いました。

/// <summary>
/// This will add an array of parameters to a SqlCommand. This is used for an IN statement.
/// Use the returned value for the IN part of your SQL call. (i.e. SELECT * FROM table WHERE field IN (returnValue))
/// </summary>
/// <param name="sqlCommand">The SqlCommand object to add parameters to.</param>
/// <param name="array">The array of strings that need to be added as parameters.</param>
/// <param name="paramName">What the parameter should be named.</param>
protected string AddArrayParameters(SqlCommand sqlCommand, string[] array, string paramName)
{
    /* An array cannot be simply added as a parameter to a SqlCommand so we need to loop through things and add it manually. 
     * Each item in the array will end up being it's own SqlParameter so the return value for this must be used as part of the
     * IN statement in the CommandText.
     */
    var parameters = new string[array.Length];
    for (int i = 0; i < array.Length; i++)
    {
        parameters[i] = string.Format("@{0}{1}", paramName, i);
        sqlCommand.Parameters.AddWithValue(parameters[i], array[i]);
    }

    return string.Join(", ", parameters);
}

この新しい関数は次のように使用できます。

SqlCommand cmd = new SqlCommand();

string ageParameters = AddArrayParameters(cmd, agesArray, "Age");
sql = string.Format("SELECT * FROM TableA WHERE Age IN ({0})", ageParameters);

cmd.CommandText = sql;

編集：以下は、任意のタイプの値の配列で機能し、拡張メソッドとして使用できる一般的なバリエーションです。

public static class Extensions
{
    public static void AddArrayParameters<T>(this SqlCommand cmd, string name, IEnumerable<T> values) 
    { 
        name = name.StartsWith("@") ? name : "@" + name;
        var names = string.Join(", ", values.Select((value, i) => { 
            var paramName = name + i; 
            cmd.Parameters.AddWithValue(paramName, value); 
            return paramName; 
        })); 
        cmd.CommandText = cmd.CommandText.Replace(name, names); 
    }
}

その後、この拡張メソッドを次のように使用できます。

var ageList = new List<int> { 1, 3, 5, 7, 9, 11 };
var cmd = new SqlCommand();
cmd.CommandText = "SELECT * FROM MyTable WHERE Age IN (@Age)";    
cmd.AddArrayParameters("Age", ageList);

AddArrayParametersを呼び出す前に、CommandTextを設定してください。

また、パラメーター名がステートメントの他の部分と部分的に一致しないことを確認してください（つまり、@ AgeOfChild）

— Jアダムロジャース
ソース

1

以下は、任意のタイプの値の配列で機能し、拡張メソッドとして使用できる一般的なバリエーションです。public static void AddArrayParameters <T>（this SqlCommand cmd、string name、IEnumerable <T> values）{var names = string.Join （ "、"、values.Select（（value、i）=> {var paramName = name + i; cmd.Parameters.AddWithValue（paramName、value）; return paramName;}））; cmd.CommandText = cmd.CommandText.Replace（name、names）; }

— アダムネミトフ2014年

この回答の小さな問題はAddWithValue機能に関するものですが、修正できる可能性はありますか？

— DavidG 2018年

スケーラビリティとパフォーマンスが低く、コーディングの習慣が悪いため、この回答は誤りです。

— Igor Levicki

24

「dapper」などのツールを使用できる場合、これは単純に次のようになります。

int[] ages = { 20, 21, 22 }; // could be any common list-like type
var rows = connection.Query<YourType>("SELECT * from TableA WHERE Age IN @ages",
          new { ages }).ToList();

Dapperはこれを個々のパラメーターにアンラップします。

— マークグラベル
ソース

Dapperは多くの依存関係を引き出します:(

— mlt

@mltハァッ？いいえ、ありません。netfx：「依存関係なし」; ns2.0では、「System.Reflection.Emit.Lightweight」だけです。necroreappターゲットを追加すれば、おそらく削除できます

— マークグラベル

私は議論をハイジャックするつもりはありませんでしたが、私はそうしました...これまでのところ'{1,2,3}'、関数のスタイル引数（WHERE IN句ではない）と同様に配列を処理するNpgsqlを使用していますが、そうでない場合はプレーンODBCを使用しますアレイの面倒。この場合、Dapper ODBCも必要になると思います。これがプルしたいものです。snipboard.io/HU0RpJ.jpg。おそらく、私は、Dapperの...の詳細に読んでください

— MLT

16

MS SQL Server 2008以降を使用している場合は、http://www.sommarskog.se/arrays-in-sql-2008.htmlで説明されているように、テーブル値パラメーターを使用できます。

1.使用するパラメータタイプごとにテーブルタイプを作成します

次のコマンドは、整数のテーブルタイプを作成します。

create type int32_id_list as table (id int not null primary key)

2.ヘルパーメソッドを実装する

public static SqlCommand AddParameter<T>(this SqlCommand command, string name, IEnumerable<T> ids)
{
  var parameter = command.CreateParameter();      

  parameter.ParameterName = name;
  parameter.TypeName = typeof(T).Name.ToLowerInvariant() + "_id_list";
  parameter.SqlDbType = SqlDbType.Structured;
  parameter.Direction = ParameterDirection.Input;

  parameter.Value = CreateIdList(ids);

  command.Parameters.Add(parameter);
  return command;
}

private static DataTable CreateIdList<T>(IEnumerable<T> ids)
{
  var table = new DataTable();
  table.Columns.Add("id", typeof (T));

  foreach (var id in ids)
  {
    table.Rows.Add(id);
  }

  return table;
}

3.このように使用します

cmd.CommandText = "select * from TableA where Age in (select id from @age)"; 
cmd.AddParameter("@age", new [] {1,2,3,4,5});

— グレゴール・スラベック
ソース

1

この行table.Rows.Add(id);により、SonarQubeを使用するときにマイナーコードのにおいが発生します。この代替案をforeach内で使用しました：var row = table.NewRow(); row["id"] = id; table.Rows.Add(row);。

— pogosama

1

これは、特により多くの列を受け入れるように適合されている場合は、受け入れられる答えになるはずです。

— Igor Levicki

10

にメソッドがあるので

SqlCommand.Parameters.AddWithValue(parameterName, value)

置き換えるパラメータ（名前）と値のリストを受け入れるメソッドを作成する方が便利な場合があります。これは、パラメーターレベル（AddWithValueなど）ではなく、コマンド自体にあるため、単にAddWithValuesではなくAddParametersWithValuesと呼ぶ方がよいでしょう。

クエリ：

SELECT * from TableA WHERE Age IN (@age)

使用法：

sqlCommand.AddParametersWithValues("@age", 1, 2, 3);

拡張メソッド：

public static class SqlCommandExtensions
{
    public static void AddParametersWithValues<T>(this SqlCommand cmd,  string parameterName, params T[] values)
    {
        var parameterNames = new List<string>();
        for(int i = 0; i < values.Count(); i++)
        {
            var paramName = @"@param" + i;
            cmd.Parameters.AddWithValue(paramName, values.ElementAt(i));
            parameterNames.Add(paramName);
        }

        cmd.CommandText = cmd.CommandText.Replace(parameterName, string.Join(",", parameterNames));
    }
}

— トリディ
ソース

1

この拡張メソッドのいくつかの反復がいくつかの回答にわたって存在するようです。ただし、これを使用したので、投票します:-)

— Dan Forbes

パラメータ名には静的インデックスを使用することをお

— 勧めし

6

IN演算子で制限を解決する別の方法を提案したいと思います。

たとえば、次のクエリがあります

select *
from Users U
WHERE U.ID in (@ids)

ユーザーをフィルタリングするためにいくつかのIDを渡します。残念ながら、簡単な方法でC＃を使用することはできません。しかし、私は「string_split」関数を使用することで、この問題の回避策を模索しています。クエリを次のように書き直す必要があります。

declare @ids nvarchar(max) = '1,2,3'

SELECT *
FROM Users as U
CROSS APPLY string_split(@ids, ',') as UIDS
WHERE U.ID = UIDS.value

これで、カンマで区切られた値の1つのパラメータ列挙を簡単に渡すことができます。

— user2399170
ソース

あなたの互換性が現在のものであるという条件で、私が見つけた最もクリーンな方法。

— user1040975

4

アイテムの配列を折りたたまれたパラメータとしてWHERE..IN句に渡すと、クエリがの形式になるため失敗しますWHERE Age IN ("11, 13, 14, 16")。

ただし、XMLまたはJSONにシリアル化された配列としてパラメーターを渡すことができます。

`nodes()`メソッドの使用：

StringBuilder sb = new StringBuilder();

foreach (ListItem item in ddlAge.Items)
  if (item.Selected)
    sb.Append("<age>" + item.Text + "</age>"); // actually it's xml-ish

sqlComm.CommandText = @"SELECT * from TableA WHERE Age IN (
    SELECT Tab.col.value('.', 'int') as Age from @Ages.nodes('/age') as Tab(col))";
sqlComm.Parameters.Add("@Ages", SqlDbType.NVarChar);
sqlComm.Parameters["@Ages"].Value = sb.ToString();

`OPENXML`メソッドの使用：

using System.Xml.Linq;
...
XElement xml = new XElement("Ages");

foreach (ListItem item in ddlAge.Items)
  if (item.Selected)
    xml.Add(new XElement("age", item.Text);

sqlComm.CommandText = @"DECLARE @idoc int;
    EXEC sp_xml_preparedocument @idoc OUTPUT, @Ages;
    SELECT * from TableA WHERE Age IN (
    SELECT Age from OPENXML(@idoc, '/Ages/age') with (Age int 'text()')
    EXEC sp_xml_removedocument @idoc";
sqlComm.Parameters.Add("@Ages", SqlDbType.Xml);
sqlComm.Parameters["@Ages"].Value = xml.ToString();

これはSQL側ではもう少し多く、適切なXML（ルート付き）が必要です。

`OPENJSON`メソッドの使用（SQL Server 2016以降）：

using Newtonsoft.Json;
...
List<string> ages = new List<string>();

foreach (ListItem item in ddlAge.Items)
  if (item.Selected)
    ages.Add(item.Text);

sqlComm.CommandText = @"SELECT * from TableA WHERE Age IN (
    select value from OPENJSON(@Ages))";
sqlComm.Parameters.Add("@Ages", SqlDbType.NVarChar);
sqlComm.Parameters["@Ages"].Value = JsonConvert.SerializeObject(ages);

最後の方法では、130以上の互換性レベルも必要であることに注意してください。

— ルカシュ・マティシアク
ソース

0

概要：DbTypeを使用してパラメータータイプを設定します。

var parameter = new SqlParameter();
parameter.ParameterName = "@UserID";
parameter.DbType = DbType.Int32;
parameter.Value = userID.ToString();

var command = conn.CreateCommand()
command.Parameters.Add(parameter);
var reader = await command.ExecuteReaderAsync()

— ゴールデンライオン
ソース

-1

使用する.AddWithValue()ので、

sqlComm.Parameters.AddWithValue("@Age", sb.ToString().TrimEnd(','));

または、これを使用することもできます。

sqlComm.Parameters.Add(
    new SqlParameter("@Age", sb.ToString().TrimEnd(',')) { SqlDbType = SqlDbType. NVarChar }
    );

あなたの合計コードサンプルは次のようになります：

string sqlCommand = "SELECT * from TableA WHERE Age IN (@Age)";
SqlConnection sqlCon = new SqlConnection(connectString);
SqlCommand sqlComm = new SqlCommand();
sqlComm.Connection = sqlCon;
sqlComm.CommandType = System.Data.CommandType.Text;
sqlComm.CommandText = sqlCommand;
sqlComm.CommandTimeout = 300;

StringBuilder sb = new StringBuilder();
foreach (ListItem item in ddlAge.Items)
{
     if (item.Selected)
     {
         sb.Append(item.Text + ",");
     }
}

sqlComm.Parameters.AddWithValue("@Age", sb.ToString().TrimEnd(','));

// OR

// sqlComm.Parameters.Add(new SqlParameter("@Age", sb.ToString().TrimEnd(',')) { SqlDbType = SqlDbType. NVarChar });

— カイル・ロセンド
ソース

Ageフィールドのタイプは、intではなくnvcharです。それは重要ですか？

— Yongwei Xing

すべきではない。特に2番目の方法では。タイプを明示的に指定します。

— カイルRosendo

私は両方の方法を使用していますが、それでも機能しません。セキュリティ上の問題を引き起こす可能性のある文字列を操作したくない

— Yongwei Xing

私は本当にあなたを理解していません。機能しないと言うと、例外をスローしますか？それは何をするためのものか？

— Kyle Rosendo

1

例外をスローせず、何も返しません。しかし、T-SQLをStudio Managementで実行すると、多くの結果が返されます。

— Yongwei Xing

-1

他の誰かが役立つと思うブライアンの回答のマイナーな変形を以下に示します。キーのリストを受け取り、それをパラメーターリストにドロップします。

//keyList is a List<string>
System.Data.SqlClient.SqlCommand command = new System.Data.SqlClient.SqlCommand();
string sql = "SELECT fieldList FROM dbo.tableName WHERE keyField in (";
int i = 1;
foreach (string key in keyList) {
    sql = sql + "@key" + i + ",";
    command.Parameters.AddWithValue("@key" + i, key);
    i++;
}
sql = sql.TrimEnd(',') + ")";

— ジェフ
ソース

スケーラビリティとパフォーマンスが低く、コーディングの習慣が悪いため、この回答は誤りです。

— Igor Levicki

-3

試す

sqlComm.Parameters["@Age"].Value = sb.ToString().Replace(","," ");

— バリン
ソース

-5

このようにしてみてください

StringBuilder sb = new StringBuilder(); 
foreach (ListItem item in ddlAge.Items) 
{ 
     if (item.Selected) 
     { 
          string sqlCommand = "SELECT * from TableA WHERE Age IN (@Age)"; 
          SqlConnection sqlCon = new SqlConnection(connectString); 
          SqlCommand sqlComm = new SqlCommand(); 
          sqlComm.Connection = sqlCon; 
          sqlComm.CommandType = System.Data.CommandType.Text; 
          sqlComm.CommandText = sqlCommand; 
          sqlComm.CommandTimeout = 300; 
          sqlComm.Parameters.Add("@Age", SqlDbType.NVarChar);
          sb.Append(item.Text + ","); 
          sqlComm.Parameters["@Age"].Value = sb.ToString().TrimEnd(',');
     } 
}

— バリン
ソース

2

なぜSqlConnectionとSqlCommnadをループに入れるのですか？

— Yongwei Xing

SqlCommandで配列パラメーターを渡す

1.使用するパラメータタイプごとにテーブルタイプを作成します

2.ヘルパーメソッドを実装する

3.このように使用します

nodes()メソッドの使用：

OPENXMLメソッドの使用：

OPENJSONメソッドの使用（SQL Server 2016以降）：

`nodes()`メソッドの使用：

`OPENXML`メソッドの使用：

`OPENJSON`メソッドの使用（SQL Server 2016以降）：