代わりに使用することができますLINQ
string _final = string.Join(" AND ", (allTheseWords.Select(x => "report=" + x)));
ユーザー入力をsqlwhere句に挿入することにより、SQLインジェクション攻撃のベクトルを導入します。このアプローチは使用しないでください。基本的に、SQLパラメータを使用します。
where report in @allTheseWords
http://en.wikipedia.org/wiki/SQL_injectionを参照してください
編集
クエリで実際にパラメータ化を行う方法については、SQLIN句のパラメータ化で最も多くの票を獲得した回答を参照してください。
この種の質問は非常に一般的であり、ここにその証拠があります。
しかし、ここで私の簡単な解決策
string[] allTheseWords = { "try", "test", "let" };
string whereLine = string.Empty;
foreach (var item in allTheseWords)
whereLine += "report = " + item.ToString() + " and ";
string final = whereLine.Remove(whereLine.Length - 5);
Console.WriteLine(final);
Console.ReadLine();
簡単な方法は、偽の常に真の節を追加する (そして AND を移動する) ことです。
string allTheseStringsWhereClause = "WHERE 1=1";
foreach (string word in allTheseWords)
{
allTheseStringsWhereClause = allTheseStringsWhereClause +
" AND report=" +
word;
}
LINQ は必要ありません。次を使用してJoinください。
string whereClause = " report=" + String.Join(" AND report=", allTheseWords);
部分文字列メソッドをハード コーディングせずにこれを行う最善の方法は、Aggregate LINQ クエリを試すことです。
var result = allTheseWords.Aggregate(allTheseStringsWhereClause, (current, word) => current + " report=" + word + " AND ");
簡単。allTheseStringsWhereClause.substr(0,-4) を実行するだけで済みます。