4

我有一个名为 call 的数据库表,其中包含 call_time、location、emergency_type 列,并且紧急情况分为三种类型:护理人员、警察和消防员。在 windows 窗体中,我创建了 CheckBoxes 'paramedics'、'police'、'firefighters',并且我想检索所有符合用户选择的表列。

我创建了一个函数:

public static DataTable GetHistory(DateTime from, DateTime to, bool paramedics, bool police, bool firefighters)
    {
        string select =
            "SELECT call_time, location, emergency_type where call_time between @from AND @to AND";
        if(paramedics)
        {
            select += " emergency_type = 'paramedics' ";
        }
        if(paramedics && police)
        {
           select +=" emergency_type = 'paramedics' OR emergency_type = 'police';
        }
        ...

    }

然而,这段代码看起来很脏,因为如果有 30 种紧急情况,就会有 30 种!组合,我会在写所有 if 语句之前变老。

如果您可以分享您检索满足所选搜索条件的数据的做法,如果您可以选择很多选项,我将不胜感激。

谢谢!

4

4 回答 4

5

好吧,如果您必须使用紧急类型作为字符串,那么您可以发送一个包含紧急类型的文本表示的列表,而不是传入布尔值。例如,要调整上面的代码,您可以将方法签名更改为

public static DataTable GetHistory(DateTime from, DateTime to, List<string> types)
{
 ..
}

然后传入一个看起来像这样的列表(例如)

List<string> types = 
  new List<string> { "paramedics" };

or 

List<string> types = 
  new List<string> { "paramedics", "police" };

然后,您可以调整查询以在 where 子句中使用 SQL IN 语句。接下来将字符串列表转换为逗号分隔的字符串,例如

string values = "'paramedics', 'police'"

创建值变量的一种简单方法是使用

string values = string.Empty;
            types.ForEach(s =>
            {
               if (!string.IsNullOrEmpty(values))
                   values += ",";
               values += string.Format("'{0}'", s);

            });

顺便说一句,您可以使用参数化命令来避免 SQL 注入。一旦你有了字符串,你可以简单地做

string select =
 "SELECT call_time, location, emergency_type where call_time between @from AND @to AND emergency_type IN " + values
于 2008-11-01T08:42:24.803 回答
0

这是一种肮脏的做法。

string select = "SELECT call_time, location, emergency_type where call_time between @from AND @to AND (1=0";

if(paramedics) { select += " OR emergency_type = 'paramedics' "; }
if(police)     { select += " OR emergency_type = 'police'"; }
if(xyz)        { select += " OR emergency_type = 'xyz'"; }

select += ")";
于 2008-11-01T08:35:51.337 回答
0

应避免字符串连接,因为它可能会导致一些令人讨厌的漏洞。如果您正在寻找编程访问方面的最佳实践,那么这里的最佳实践是使用参数化查询。

如果你想便宜,那么让 in 子句接受一个参数,并将该字符串从选中的复选框列表中连接在一起,并将其作为 in 子句的参数值传递。它看起来像这样:

where ... and emergency_type in (?)

另一种方法是计算被选中的复选框的数量,并为 in 子句构建参数列表,使其看起来更像这样:

where ... and emergency_type in(?,?...) -- as many params as there are checked checkboxes.

这些中的任何一个都可以。使用这些类型的查询,我已经构建了自己的 SQL 构造函数方法,我保留了参数的内部计数及其数据类型,并动态构建 sql,然后使用已知的好参数列表进行准备.

你可以看看学习 Linq。

于 2008-11-01T17:04:35.353 回答
0

构建用户的比较值列表 (@EmergencyList),并使用包含运算符的参数化查询使用 SQL。

SELECT call_time, 
       location, 
       emergency_type 
where call_time between @from AND @to 
  AND CONTAINS( Emegency_Type, @EmergencyList )
于 2008-11-01T17:29:35.270 回答