Dapper仅支持命名参数(如@name),不支持位置占位符;常用匿名对象、强类型类或Dictionary传参,均需键名与SQL中@后名称严格一致;列表参数可直接用于IN查询,但空列表需特殊处理。
Dapper 传递参数主要靠匿名对象、强类型对象或字典,核心是让 SQL 中的参数名(如 @name、@id)能与传入值自动匹配。它不支持位置占位符(如 ?),只认命名参数,这是关键前提。
用匿名对象传参(最常用)
适合简单查询,代码简洁直观:
- SQL 字符串中写
@参数名,例如"SELECT * FROM Users WHERE Age > @minAge AND Status = @status" - 调用时传入 new { minAge = 18, status = "Active" },属性名必须和 SQL 中的 @ 名完全一致(区分大小写)
- 值为 null 会被正确映射为数据库 NULL,无需额外处理
用强类型类传参(推荐用于复杂场景)
适合多处复用、逻辑清晰、IDE 有提示的场景:
- 定义一个类(如
UserQuery),含public int MinAge { get; set; }和public string Status { get; set; } - new 出实例后直接传入:dapper.Query(sql, new UserQuery { MinAge = 18, Status = "Active" })
- Dapper 会通过反射读取 public 属性,忽略字段、私有成员和方法
用 Dictionary 传参(动态拼参)
适合参数名不确定、运行时生成条件的场景:
- 构建字典:
var param = new Dictionary(); param["minAge"] = 18; param["status"] = "Active"; - 注意 key 是字符串,且要和 SQL 中的
@key完全一致;value 支持任意类型(包括 null、列表等) - 比匿名对象更灵活,但失去编译期检查,容易拼错键名
批量操作与列表参数(IN 查询常用)
Dapper 原生支持数组/列表作为参数,自动展开为逗号分隔的参数序列:
- SQL 写成:
"SELECT * FROM Users WHERE Id IN @ids"(注意是@ids,不是@ids[0]) - 传参:
new { ids = new[] { 1, 2, 3 } },Dapper 会自动转为IN (@ids1, @ids2, @ids3)并绑定 - 列表为空时,Dapper 会抛异常(因为 IN () 语法非法),需提前判断并改写 SQL 或返回空结果
基本上就这些。记住一点:Dapper 的参数化不是“防注入”的可选项,而是唯一安全方式——拼接字符串($"" 或 +)永远不要用在用户输入上。
