17370845950

Dapper通过集合参数自动展开实现安全高效的IN子句查询，支持任意类型、匿名对象及多集合混合使用，需防范空集合、null及SQL Server参数数限制。

Dapper 本身不直接支持 SQL 中 IN 子句的原生参数化（比如 WHERE id IN @ids），但提供了简洁、安全、高效的方式来实现——核心是利用 Dapper 对集合参数的自动展开能力。

用 IEnumerable 参数自动展开 IN 列表

Dapper 能识别传入的数组、List、HashSet 等集合类型，并在生成 SQL 时自动为每个元素生成独立参数，避免 SQL 注入。这是最常用也最推荐的方式。

• 写法示例：SELECT * FROM Users WHERE Id IN @ids
• @ids 传入 new[] { 1, 2, 3 } 或 new List { 1, 2, 3 }
• Dapper 内部会将其转为类似 WHERE Id IN (@ids_0, @ids_1, @ids_2)，并绑定对应值
• 支持任意值类型（int、string、Guid、DateTime 等），也支持匿名对象属性

字符串拼接 IN 列表（不推荐，仅限只读低风险场景）

如果因特殊原因必须动态拼接（如兼容旧驱动、超大列表需分批），可用 string.Join + SqlMapper.GenerateInSql 辅助方法，但务必确保数据已清洗或来自可信源。

• Dapper 提供 SqlMapper.GenerateInSql 工具方法，可安全生成带参数占位符的 IN 字符串
• 例如：var sql = $"SELECT * FROM Products WHERE CategoryId IN {SqlMapper.GenerateInSql(categoryIds, "@cat")}"
• 仍需手动传入 new { cat = categoryIds }，不能跳过参数化
• 注意：SQL Server 对参数总数有限制（通常 ≤ 2100），超量需分批次查询

处理空集合或 null 的边界情况

传入空集合（new int[0]）或 null 时，Dapper 默认会抛出异常或生成无效 SQL，需主动防御。

• 空集合建议提前判断，改走其他逻辑（如返回空结果集）
• 可封装扩展方法统一处理：if (!ids.Any()) return new List();
• 使用 ?? Enumerable.Empty() 避免 null 引发异常
• 若业务允许“全量匹配”，可改用 WHERE 1=1 + 动态添加条件

复杂对象中使用 IN（如按用户名查用户）

当需要根据对象属性做 IN 查询（如查一批用户名对应的用户），可借助匿名对象或字典传参。

• 例如：conn.Query("SELECT * FROM Users WHERE Name IN @names", new { names = new[] { "Alice", "Bob" } })
• 属性名（names）必须与 SQL 中的 @names 严格一致
• 字符串值无需额外加引号，Dapper 自动处理转义和类型适配
• 混合类型 IN（如 WHERE status IN @statuses AND type IN @types）也完全支持，分别传入两个集合即可

基本上就这些。Dapper 的 IN 处理不复杂但容易忽略细节，关键是始终用集合参数、避开字符串拼接、留意空值和长度限制。