Delphi：如何将列表作为参数传递给 SQL 查询？

Question

我有一个整数列表或字符串列表，需要将它作为 Delphi DataSet 的参数传递。怎么做？

这是一个例子。 MyQuery 类似于：

select * from myTable where intKey in :listParam

我会将参数设置为列表或数组或其他内容：

MyQuery.ParamByName('listParam').AsSomething := [1,2,3];

这会导致这个查询被发送到 sql server：

select * from myTable where intKey in (1, 2, 3)

如果解决方案也适用于字符串，那就更好了，进行以下查询：

select * from myTable where stringKey in :listParam

变成：

select * from myTable where stringKey in ('a', 'b', 'c')

我相信这是一个简单的问题，但“IN”不是搜索网络的好关键字。

请回答我应该如何在IDE中配置参数，查询以及如何传递参数。

我正在使用 Delphi 7。

已编辑：我正在考虑答案是“不可能直接做”。如果有人给我一个非骇人听闻的答案，接受的答案将被更改。

Answer 1

AFAIK，这是不可能的。

您必须将列表转换为纯文本形式的 SQL 列表。

例如：

function ListToText(const Args: array of string): string; overload;
var i: integer;
begin
  result := '(';
  for i := 0 to high(Args) do 
    result := result+QuotedStr(Args[i])+',';
  result[length(result)] := ')';
end;


function ListToText(const Args: array of integer): string; overload;
var i: integer;
begin
  result := '(';
  for i := 0 to high(Args) do 
    result := result+IntToStr(Args[i])+',';
  result[length(result)] := ')';
end;

这样使用：

SQL.Text := 'select * from myTable where intKey in '+ListToText([1,2,3]);
SQL.Text := 'select * from myTable where stringKey in '+ListToText(['a','b','c']);

Answer 2

SQL 仅接受单个值作为参数，因此您无法创建一个带有一个参数的语句，该参数可以映射到可变数量的值，例如您给出的示例。

但是，在这种情况下，您仍然可以使用参数化 SQL。解决方案是遍历您拥有的值列表，将参数标记添加到 SQL 中，并将参数添加到每个值的参数列表中。

使用位置参数而不是命名参数最容易做到这一点，但也可以适应命名参数（您可能需要调整此代码，因为我没有可用的 Delphi 并且不记得参数创建语法）：

 //AValues is an array of variant values
 //SQLCommand is some TDataSet component with Parameters.
 for I := Low(AValues) to High(AValues) do
 begin

    if ParamString = '' then
       ParamString = '?'
    else
      ParamString = ParamString + ', ?';

    SQLCommand.Parameters.Add(AValues[I]);

  end

  SQLCommand.CommandText = 
     'SELECT * FROM MyTable WHERE KeyValue IN (' + ParamString + ')';

这将产生一个注入安全的参数化查询。

Answer 3

您有多种选择，但基本上您需要将值放入表格中。我会为此建议一个表变量。

这是一个解压 int 列表的版本。

declare @IDs varchar(max)
set @IDs = :listParam

set @IDs = @IDs+','

declare @T table(ID int primary key)

while len(@IDs) > 1
begin
  insert into @T(ID) values (left(@IDs, charindex(',', @IDs)-1))
  set @IDs = stuff(@IDs, 1, charindex(',', @IDs), '')
end

select *
from myTable
where intKey in (select ID from @T)

可以进行多语句查询。参数:listParam应该是字符串：

MyQuery.ParamByName('listParam').AsString := '1,2,3';

您可以对字符串使用相同的技术。您只需要将ID 的数据类型更改为例如varchar(10)。

你可以使用split function而不是使用while循环解包

declare @T table(ID varchar(10))

insert into @T 
select s
from dbo.Split(',', :listParam)

select *
from myTable
where  charKey in (select ID from @T)

字符串参数可能如下所示：

MyQuery.ParamByName('listParam').AsString := 'Adam,Bertil,Caesar';

Answer 4

创建一个临时表并将您的值插入其中。然后将该表用作子查询的一部分。

例如，在您的数据库中创建 MyListTable。将您的值插入 MyListTable。然后做

select * from myTable where keyvalue in (select keyvalue from MyListTable)

这样可以避免 SQL 注入攻击。但它并不优雅，对性能不友好，因为您必须在运行查询之前插入记录，并且可能导致并发问题。

不是我处理您的情况的首选，但它解决了您对 sql 注入的担忧。

Answer 5

如果有人仍然遇到同样的问题，如果您使用 fireac，则可以使用如下宏：

查询 -> "select * from myTable where intKey in (&listParam)"

设置宏 -> MyQuery.MacroByName('listParam').AsRaw := '1, 2, 3';

Answer 6

我使用了一些“IN”替换。这是我使用的查询：

SELECT * FROM MyTable WHERE CHARINDEX(','+cast(intKey as varchar(10))+',', :listParam) > 0

发送参数的代码：

MyQuery.ParamByName('listParam').AsString := ',1,2,3,';  

数组项值可以部分匹配其他一些值。例如，“1”可以是“100”的一部分。为了防止它，我使用逗号作为分隔符

Answer 7

为什么不做动态sql：

又快又脏，但仍在使用参数。 检查 10 个元素。我不知道它的扩展性如何。

    MyQuerySQL.Text:='SELECT * FROM myTable WHERE intKey in (:listParam0'
    for i := 1 to 9 do begin
      MyQuerySQL.Text := MyQuerySQL.Text + ',:listParam'+IntToStr(i)
    end;
    MyQuerySQL.Text := MyQuerySQL.Text+')';
    for i:=0 to 9 do begin
      MyQuery.ParamByName('listParam'+IntToStr(i)).AsInteger := ArrayofInt[0];
    end;