参数化查询mysql with`in`子句

您可以基于(可能的)参数的变量数“即时”构建参数化查询,并对其进行迭代以传递它们。

所以,有点像:

List foo; // assuming you have a List of items, in reality, it may be a List<int> or a List<myObject> with an id property, etc.

StringBuilder query = new StringBuilder( "UPDATE TABLE_1 SET STATUS = ? WHERE ID IN ( ?")
for( int i = 1; i++; i < foo.Count )
{   // Bit naive 
    query.Append( ", ?" );
}

query.Append( " );" );

MySqlCommand m = new MySqlCommand(query.ToString());
for( int i = 1; i++; i < foo.Count )
{
    m.Parameters.Add(new MySqlParameter(...));
}

这在MySQL中是不可能的。 您可以创建所需数量的参数并进行更新…在(?,?,?,?)。这可以防止注入攻击(但仍然需要为每个参数计数重新生成查询)。

另一种方法是传递逗号分隔的字符串并对其进行分析。

不能为IN子句使用参数。

老问题,但如果有人通过谷歌看到这一点,我使用的是:

int status = 4;  
string ids = "1,14,145,43";      

m.Parameters.AddWithValue("@Status", status);
m.Parameters.AddWithValue("@IDs", ids);

UPDATE TABLE_1 SET STATUS = @Status WHERE FIND_IN_SET(ID, @IDs) > 0;

注意:find_in_是一个特定于mysql的函数。

信用证,信用证到期的地方:见本问题: Add List<int> to a mysql parameter

循环您的整数列表并执行单个更新。

MSSQL2008提供了表值参数来避免这个问题,我不知道MySQL中有任何类似的功能。

我建议创建一个函数(假设mysql支持用户定义的函数)来分离参数以返回一个表。