62,041
社区成员
发帖
与我相关
我的任务
分享.NET中oracle使用dynamicparameter进行in参数化查询
麻烦大家帮忙解答以下代码在程序中运行的时候为什么查询不出来数据:
USERINFO userInfo=new USERINFO();
userInfo.yhm="'123','456','789’”;
string sqlStr=string.Format("SELECT * FROM USERINFO WHERE YHM IN(:YHM)");
DynamicParameters parameters=new DynamicParameters();
parameters.Add(":YHM",userInfo.yhm);
return conn.Query<USERINFO>(sqlStr,parameters).ToList();
但是将SELECT * FROM USERINFO WHERE YHM IN(123','456','789‘)在pl/sql中是有数据的。请问以下这个要怎么才能查询出数据?
目前我是这样做的string sqlStr=string.Format("SELECT * FROM USERINFO WHERE YHM IN({0})",userInfo.yhm);
想了解清楚前面那个方法为什么不行。
USERINFO userInfo=new USERINFO();
userInfo.yhm="'123','456','789’”;
string sqlStr=string.Format("SELECT * FROM USERINFO WHERE YHM IN(:YHM)");
DynamicParameters parameters=new DynamicParameters();
parameters.Add(":YHM",userInfo.yhm);
return conn.Query<USERINFO>(sqlStr,parameters).ToList();
但是将SELECT * FROM USERINFO WHERE YHM IN(123','456','789‘)在pl/sql中是有数据的。请问以下这个要怎么才能查询出数据?
目前我是这样做的string sqlStr=string.Format("SELECT * FROM USERINFO WHERE YHM IN({0})",userInfo.yhm);
想了解清楚前面那个方法为什么不行。
...全文
请发表友善的回复…
发表回复
mirrorspace 2018-08-12
- 打赏
- 举报
这 .这 是去年的帖子啊...
以专业开发人员为伍 2018-08-11
- 打赏
- 举报
嗯,也不是说 in( 后边不能是一个变量,而是说 in( 后边的列表是列表、不是变量。如果只有一个变量,就说明你的 sql 语句中 in( 后边的列表只有一个字符串单元。而不是列表。
以专业开发人员为伍 2018-08-11
- 打赏
- 举报
in( 后边根本不可能是一个变量。你从哪里学的 sql 语言?
Krazer、 2018-08-11
- 打赏
- 举报
我的博客有解释可以看下,我刚刚也碰到这个问题了,可以将字符串转为Int[]数组传进去
mirrorspace 2017-08-18
- 打赏
- 举报
IN的参数化不好弄.麻烦.
如果YHM确定不会有注入的话.拼成SQL片段连接上就行.
Hello World, 2017-08-17
- 打赏
- 举报
你可以跟踪第一个生成的SQL语句,是把'123','456','789’当成一个字符串来处理的,相当于是 in ('''123'',''456'',''789’'')
