動的Linqの作成

Question

私は、SQLインジェクション攻撃に対して何らかの保護を提供するために、テキストフィールドへのユーザーの入力に応じて作成されたクエリを書き直しています。

SELECT DISTINCT (FileNameID) FROM SurNames WHERE Surname IN 
('Jones','Smith','Armitage') 
AND FileNameID IN (SELECT DISTINCT (FileNameID) FROM FirstNames WHERE FirstName 
IN ('John','William')) 

このプロセスには他のテーブルが最大3つあります。 パラメータリストは最大50〜100エントリであるため、パラメータ化されたクエリの作成は面倒で面倒です。

私は必要な保護を提供し、パラメータ化を処理する必要があるLinqクエリを作成しようとしています。

これは私が必要なものを私に与え

var surnameValues = new[] { "Jones","Smith","Armitage" }; 
    var firstnameValues = new[] { "John","William" }; 

    var result = (from sn in db.Surnames 
       from fn in db.FirstNames 
       where surnameValues.Contains(sn.Surname) && 
       firstnameValues.Contains(fn.FirstName) 
       select fn.FileNameID).Distinct().ToArray(); 

私は今動的に姓やfirstnameのテキスト入力ボックスに、ユーザーが選択したかどうか/入力された値に応じて、これを作成する方法が必要

？

任意のポインタは感謝して、クエリにすべてのロジックを組み合わせることができ

おかげ ロジャー

Answer 1

を受信します。

var surnameValues = new[] { "Jones","Smith","Armitage" }; 
var firstnameValues = null; 

// Set these two variables to handle null values and use an empty array instead 
var surnameCheck= surnameValues ?? new string[0]; 
var firstnameCheck= firstnameValus ?? new string[0]; 

var result = (from sn in db.Surnames 
      from fn in db.FirstNames 
      where 
      (!surnameCheck.Any() || surnameCheck.Contains(sn.Surname)) && 
      (!firstnameCheck.Any() || firstnameCheck.Contains(fn.FirstName)) 
      select fn.FileNameID).Distinct().ToArray(); 

あなたのクエリは、SurnamesテーブルとfirstNamesテーブルの間の結合条件を持っていないようですか？

（あなたは私がSelectManyを使用しました参加交差やっているように見えるよう）あなたが動的にクエリを構築することができ

var query=db.Surnames.SelectMany(sn=>db.FirstNames.Select (fn => new {fn=fn,sn=sn})); 
if (surnameValues!=null && surnameValues.Any()) query=query.Where(x=>surnameValues.Contains(x.sn.Surname)); 
if (firstnameValues !=null && firstnameValues.Any()) query=query.Where(x=>firstnameValues.Contains(x.fn.FirstName)); 
var result=query.Select(x=>x.fn.FileNameID).Distinct();