パラメータリストによるSQLクエリフィルタリング

Question

私は値のリストに関連付けられたすべての行を返すクエリを持っています。

select * from TableA where ColumnB in (1, 2, 3, 5) 

私はこのクエリをC＃で生成して実行することができました。ただし、これはパラメータを使用しないため明らかに理想的ではなく、クエリプランをキャッシュしようとすると苦労し、SQLインジェクション攻撃に対して脆弱です。これは、しかし、これはN DBヒットになり、C＃と何度も実行することができ

select * from TableA where ColumnB = @value 

：

選択肢はこれを書くことです。

私が見ることのできる唯一の代替方法は、テンポラリテーブルを作成してそれに参加させることですが、この点はもっと複雑で、最初のオプションと同じ制限があります。

私はSQLサーバーとOLDBを使用していますが、クエリの作成は問題ではありません。私は最も効率的なプロセスを作成しようとしています。

これら3つの方法のどれが効率的ですか？代替案が欠けていますか？あなたは簡単にこの書くことができます

Answer 1

は、SQL Serverで、一度テーブル型を作成：

CREATE TYPE dbo.ColumnBValues AS TABLE 
(
    ColumnB INT 
); 

を次に入力などの型を取るストアドプロシージャ：今

CREATE PROCEDURE dbo.whatever 
    @ColumnBValues dbo.ColumnBValues READONLY 
AS 
BEGIN 
    SET NOCOUNT ON; 

    SELECT A.* FROM dbo.TableA AS A 
    INNER JOIN @ColumnBValues AS c 
    ON A.ColumnB = c.ColumnB; 
END 
GO 

をC＃でDataTableを作成し、それをストアドプロシージャのパラメータとして渡します。

DataTable cbv = new DataTable(); 
cbv.Columns.Add(new DataColumn("ColumnB")); 

// in a loop from a collection, presumably: 
cbv.Rows.Add(someThing.someValue); 

using (connectionObject) 
{ 
    SqlCommand cmd  = new SqlCommand("dbo.whatever", connectionObject); 
    cmd.CommandType  = CommandType.StoredProcedure; 
    SqlParameter cbvParam = cmd.Parameters.AddWithValue("@ColumnBValues", cbv); 
    cbvParam.SqlDbType = SqlDbType.Structured; 
    //cmd.Execute...; 
} 

もっと一般的なタイプのため、具体的に何をしているのかを明確にするために名前を付けました）

Answer 2

：このところで

String csvString = "1, 2, 3, 5"; // Built the list somehow, don't forget escaping 
String query = "select * from TableA where ColumnB in (" + csvString + ")"; 

を、パフォーマンスが低下していない、とあなたはcsvStringを作成しながら、単に入力値をエスケープSQLインジェクションを防ぐことができます。

ところで、あなたはMS SQLの代わりに、標準SQLを使用する場合は、することができますfindalternativeways。

Answer 3

またmultiple resultsetsを使用して、このようなクエリのbounchを送ることができます。シングル呼び出しで

​​

。 明らかに直観に反しても、実行計画を活用し、パラメータ化の面で安全です。 SQL Server 2008またはそれ以降を想定し