C#中，仿效Java中，SQL参数以？替代的做法，解决IN的防注入问题(续)

昨天写了C#中仿效Java内SQL参数以？替代的方案，但是区分了单个参数和数组参数，而且只能支持其中的一种，不能2种情况都支持。

今天突然发现，原来可以利用params object[]参数的时候可以将数组当作参数传入，当传入对象类型的IsArray为true的时候，可以区分出单个参数还是数组参数，这样就可以在任何情况下都能将参数以？的形式替代。

由于SQL内的参数，可以是单个参数和数组参数混合的形式，因此需要属性来区分数组参数和单个参数的下标。

        /// <summary>
        /// 单参数下标
        /// </summary>
        int ParamIndex
        {
            get;
            set;
        }

        /// <summary>
        /// 数组参数下标
        /// </summary>
        int ArrayIndex
        {
            get;
            set;
        }

　　

为了方便获取当前的单个参数名和数组参数名，我使用属性的Get来获取名字。

        /// <summary>
        /// 单参数名
        /// </summary>
        string SingleParam
        {
            get
            {
                return string.Format("@param_{0}", this.ParamIndex);
            }
        }

        /// <summary>
        /// 数组参数名
        /// </summary>
        string ArrayParam
        {
            get
            {
                return string.Format("@array_{0}", this.ArrayIndex);
            }
        }

　　

转化的过程中，主要是对于参数替代符号？的处理，我使用正则类的Replace方法来实现。具体代码如下：

/// <summary>
        /// 转化问号参数
        /// </summary>
        /// <param name="sql">带问号的SQL语句</param>
        /// <param name="paramValues">参数值数组</param>
        /// <returns></returns>
        public SqlParameter[] CastUnknowMark(ref string sql, object[] paramValues)
        {
            //如存在问号参数并且参数值数组>0，则遍历每个问号参数，如参数下标超出参数值数量范围则抛出异常，
            //如当前下标的参数值为数组，则以等同于参数值数组数量的参数替换问号参数，否则替换为单个参数
            IList<SqlParameter> parameterList = new List<SqlParameter>();
            if(0 <= sql.IndexOf("?") && paramValues != null && 0 < paramValues.Length)
            {
                sql = new Regex(@"\?").Replace(sql, mark =>
                {
                    string paramName = this.SingleParam;
                    if(this.ParamIndex < paramValues.Length)
                    {
                        object paramValue = paramValues[this.ParamIndex];
                        if(paramValue.GetType().IsArray)
                        {
                            IList values = paramValue as IList;
                            IList<string> paramNameList = new List<string>();
                            foreach(object obj in values)
                            {
                                this.ArrayIndex++;
                                paramNameList.Add(this.ArrayParam);
                                parameterList.Add(new SqlParameter(this.ArrayParam, obj));
                            }
                            paramName = string.Join(",", paramNameList.ToArray());
                        }
                        else
                        {
                            parameterList.Add(new SqlParameter(this.SingleParam, paramValue));
                        }
                    }
                    else
                    {
                        throw new Exception("参数值数量小于问号参数数量！");
                    }
                    this.ParamIndex++;
                    return paramName;
                });
            }
            return parameterList.ToArray();
        }

　　

个人觉得，有些想法应该尝试一下，虽然一开始写的不好，但是随着多次实践与思考，肯定能将代码写的更好，写的不好之处，请多多见谅。