如下代码:
string guidStr=request.form.get("guidstr");//通过form递交的guid串
//类似36C269F4-87E6-486F-9052-1114DC558A11,DEFC3D34-DABA-41C1-98E4-2B32859DA34E
string[] guids=guidStr.split(',');//按逗号分隔成数组stringbuilder guidList=new stringbuilder();//拼接
foreach(string guid in guids){
   if(guidList.length>0)guidList.append(",'"+guid+"'");
   else guidList.append("'"+guid+"'");
}
//变成'36C269F4-87E6-486F-9052-1114DC558A11','DEFC3D34-DABA-41C1-98E4-2B32859DA34E'string sqlStr="select field1,field2 from [table] where guid in (@guidList)";SqlParameter[] paras = new SqlParameter[]{
new SqlParameter("@guidList",SqlDbType.VarChar,2000)
};
paras[0].Value = guidList.toString();  SqlServerHandler.ExecuteSql(sqlStr, paras)...
//.....上面的参数化处理执行有误,应该怎么修改?
如果不用参数化,拼接是可以执行的,但不是我想要的,
string sqlStr="select field1,field2 from [table] where guid in ("+guidList.toString()+")";(数据库中guid列是UniqueIdentifier类型的,guid串如何在In函数中作参数化处理?)