ASP、C# 和SQL复杂参数/查询示例请

Question

我正在构建一个网页，上面有一些控件，例如 CheckBoxList 和 Listbox（启用了多项选择）。这些控件将链接到一个 SQL 数据库表，一个用于颜色，一个用于尺寸。设计查询的最佳方法是什么，主要是“where”语句来过滤网格视图中列出的与用户选择的尺寸和颜色相匹配的衬衫。例如，如果用户从colorsCheckBoxList中检查红色和蓝色，从sizeListbox中检查中号和大号，则gridview将仅显示中号和大号的红色衬衫以及中号和大号的蓝色衬衫。我已经完成了大部分工作，但我只是想不出设计“where”子句的最佳方法。如果我只允许每个控件进行一项选择，我可以轻松创建它，但我更愿意允许多项选择。

这是一个 .aspx 页面，页面“代码隐藏”(C#)。我读过使用参数是干净代码和安全性的最佳方法，但我想听听其他人的想法。

请让我知道您可能需要的任何进一步的详细信息，我非常感谢您在这个问题上花费的时间。

Answer 1

是的，始终使用 SQL 参数来消除 SQL 注入的风险。如果不查看数据库模式，很难判断您需要什么。这就是我在你的情况下会做的事情。

SELECT shirtid, shirtname
FROM shirts
WHERE colorID IN (REDSHIRTID, BLUESHIRTID)

您可以将选择框中的 ID 设置为 REDSHIRTID 和 BLUESHIRTID。

Answer 2

您可以使用表值或 XML 参数传入尺寸和颜色的多个 ID。我个人会选择表值参数。

Answer 3

选择将根据大小和颜色的不同而有所不同，对两者进行多个或单个选择。您可以使用存储过程进行锻炼。（而且它会更快）将参数传递给 sp 时，您可以将两者的选择作为带有字符分隔的字符串传递逗号 e,g 表示尺寸“红色、蓝色、绿色”（如果选择这三个）。颜色相同。
在 sp 中，您可以首先通过拆分 ',' 来分隔参数，然后查询为

//create sp name

//passparameter color and size

//begin sp

//write for splitting paramter code might in for statements then

   SELECT col1, col2, col3 from shirts
   WHERE size IN (separated param list)  AND
   color IN (separated param list of colors)

// end sp