Dapper中处理JSON_CONTAINS查询参数替换的技巧

在使用Dapper进行MySQL数据库操作时，开发者经常会遇到需要动态替换SQL语句中JSON相关函数参数的情况。本文将以一个典型场景为例，详细介绍如何正确处理JSON_CONTAINS函数中的参数替换问题。

问题背景

当我们需要查询JSON字段中是否包含特定值时，通常会使用MySQL的JSON_CONTAINS函数。例如，查询JSON数组字段中是否包含某个版本号：

JSON_CONTAINS(mcmod_game_version->'$.Fabric', '[\"1.12.2\"]')

在Dapper中，我们希望能够动态替换这个版本号参数，直觉上可能会尝试以下写法：

JSON_CONTAINS(mcmod_game_version->'$.Fabric', '[\"@version\"]')

然后通过参数化查询传入version参数：

var list = codeSQL.Query<DataObj>(sql, new {version});

然而，这种写法实际上不会生效，因为Dapper不会替换字符串字面量中的参数占位符。

问题分析

这个问题的本质在于SQL字符串字面量的处理机制。在SQL中，单引号内的内容被视为完整的字符串字面量，Dapper不会解析字符串内部的@parameter占位符。因此，'["@version"]'会被当作字面字符串处理，而不是参数替换。

解决方案

方案一：字符串拼接

最直接的解决方案是使用字符串拼接函数CONCAT来构建JSON数组字符串：

JSON_CONTAINS(mcmod_game_version->'$.Forge', CONCAT('[\"', @version, '\"]'))

这种写法明确告诉MySQL先拼接字符串再执行JSON_CONTAINS函数，能够正确地进行参数替换。

方案二：参数化JSON构建

对于更复杂的JSON查询，可以考虑使用MySQL的JSON_OBJECT或JSON_ARRAY函数动态构建JSON：

JSON_CONTAINS(mcmod_game_version->'$.Forge', JSON_ARRAY(@version))

这种方法更加规范，且能避免手动拼接字符串可能带来的转义问题。

安全注意事项

在使用字符串拼接时，必须注意防范SQL注入风险。虽然Dapper的参数化查询已经提供了基本防护，但在构建JSON字符串时仍需谨慎：

1. 确保传入的参数值已经过验证
2. 避免直接将用户输入拼接到SQL中
3. 考虑使用存储过程处理复杂JSON查询

性能考虑

对于频繁执行的JSON查询，建议：

1. 为JSON字段创建适当的索引
2. 考虑使用生成列存储常用JSON路径的值
3. 评估是否可以将频繁查询的JSON属性提取为单独列

总结

Dapper与MySQL JSON函数的配合使用需要注意参数替换的特殊性。通过理解SQL字符串字面量的处理机制，并采用正确的字符串拼接或JSON构建方法，可以既保证查询的正确性，又维护代码的安全性。在实际开发中，应根据查询复杂度、性能需求和安全要求选择最适合的参数化方案。