Dapper 传递参数主要靠匿名对象、强类型对象或字典,核心是让 SQL 中的参数名(如
@name、
@id)能与传入值自动匹配。它不支持位置占位符(如
?),只认命名参数,这是关键前提。
用匿名对象传参(最常用)
适合简单查询,代码简洁直观:
SQL 字符串中写@参数名,例如
"SELECT * FROM Users WHERE Age > @minAge AND Status = @status"调用时传入 new { minAge = 18, status = "Active" },属性名必须和 SQL 中的 @ 名完全一致(区分大小写) 值为 null 会被正确映射为数据库 NULL,无需额外处理
用强类型类传参(推荐用于复杂场景)
适合多处复用、逻辑清晰、IDE 有提示的场景:
定义一个类(如UserQuery),含
public int MinAge { get; set; } 和 public string Status { get; set; }
new 出实例后直接传入:dapper.Query(sql, new UserQuery { MinAge = 18, Status = "Active" })
Dapper 会通过反射读取 public 属性,忽略字段、私有成员和方法
用 Dictionary 传参(动态拼参)
适合参数名不确定、运行时生成条件的场景:
构建字典:var param = new Dictionary<string object>(); param["minAge"] = 18; param["status"] = "Active";</string>注意 key 是字符串,且要和 SQL 中的
@key完全一致;value 支持任意类型(包括 null、列表等) 比匿名对象更灵活,但失去编译期检查,容易拼错键名
批量操作与列表参数(IN 查询常用)
Dapper 原生支持数组/列表作为参数,自动展开为逗号分隔的参数序列:
SQL 写成:"SELECT * FROM Users WHERE Id IN @ids"(注意是
@ids,不是
@ids[0]) 传参:
new { ids = new[] { 1, 2, 3 } },Dapper 会自动转为 IN (@ids1, @ids2, @ids3)并绑定 列表为空时,Dapper 会抛异常(因为 IN () 语法非法),需提前判断并改写 SQL 或返回空结果
基本上就这些。记住一点:Dapper 的参数化不是“防注入”的可选项,而是唯一安全方式——拼接字符串($"" 或 +)永远不要用在用户输入上。
