Bei der Arbeit mit dem Dapper ORM stößt man häufig auf Abfragen, die eine IN-Klausel enthalten. Wenn die Werte für die IN-Klausel jedoch dynamisch aus der Geschäftslogik generiert werden, fragen Sie sich möglicherweise, wie man eine solche Abfrage am besten erstellen kann.
Eine verwendete Methode ist die Zeichenfolgenverkettung, die jedoch umständlich sein kann und anfällig für SQL-Injection-Schwachstellen. Um diese Probleme zu vermeiden, bietet Dapper eine erweiterte Parameterzuordnungstechnik, mit der Sie einen Parameter für die IN-Klausel angeben können.
Dapper unterstützt die direkte Verwendung eines Parameters für die IN-Klausel. Um diese Funktion zu nutzen, können Sie die folgenden Schritte ausführen:
string sql = "SELECT * FROM SomeTable WHERE id IN @ids";
var parameters = new { ids = new[] { 1, 2, 3, 4, 5 } };var results = conn.Query(sql, parameters);
Dieser Ansatz ist prägnanter und sicherer als die Zeichenfolgenverkettung und ermöglicht Ihnen die einfache Angabe einer dynamischen Werteliste für die IN-Klausel.
Wenn Sie PostgreSQL verwenden, ist die Syntax für die IN-Klausel etwas anders. Anstatt einen Parameterplatzhalter zu verwenden, können Sie den ANY-Operator verwenden, um die Werte für die IN-Klausel anzugeben. Zum Beispiel:
string sql = "SELECT * FROM SomeTable WHERE id = ANY(@ids)";
Denken Sie nur daran, das Parameterobjekt entsprechend anzupassen:
var parameters = new { ids = new[] { 1, 2, 3, 4, 5 } };Das obige ist der detaillierte Inhalt vonWie verwende ich die IN-Klausel von Dapper sicher mit dynamisch generierten Werten?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
