動的に生成された値で Dapper の IN 句を安全に使用する方法は?

Dapper ORM を使用した IN 句によるクエリ

Dapper ORM を使用する場合、IN 句を含むクエリがよく発生します。ただし、IN 句の値がビジネス ロジックから動的に生成される場合、そのようなクエリを構築する最適な方法について疑問に思うかもしれません。

使用されている方法の 1 つは文字列の連結ですが、これは面倒になる可能性があります。 SQL インジェクションの脆弱性が発生しやすいです。これらの問題を回避するために、Dapper は、IN 句のパラメータを指定できる高度なパラメータ マッピング手法を提供します。

ソリューション

Dapper は、IN 句のパラメータの直接使用をサポートしています。この機能を使用するには、次の手順に従います。

1. IN 句パラメーターのプレースホルダーを使用してクエリを定義します。例:

string sql = "SELECT * FROM SomeTable WHERE id IN @ids";

2. IN 句パラメータの値を含むオブジェクトを作成します。この例では、整数値の配列を含む ids プロパティを持つ匿名オブジェクトを作成します。

var parameters = new { ids = new[] { 1, 2, 3, 4, 5 } };

3. Query メソッドを使用してクエリを実行し、パラメータ オブジェクトを次のように渡します。 2 番目の引数:

var results = conn.Query(sql, parameters);

このアプローチは、文字列連結よりも簡潔かつ安全であり、次のことが可能です。 IN 句の値の動的なリストを簡単に指定できます。

PostgreSQL ユーザー向けのメモ

PostgreSQL を使用している場合、IN 句の構文は少し異なります。パラメーター プレースホルダーを使用する代わりに、ANY 演算子を使用して IN 句の値を指定できます。例:

string sql = "SELECT * FROM SomeTable WHERE id = ANY(@ids)";

それに応じてパラメータ オブジェクトを調整することを忘れないでください:

var parameters = new { ids = new[] { 1, 2, 3, 4, 5 } };

以上が動的に生成された値で Dapper の IN 句を安全に使用する方法は?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。