SqlParameter和IN语句[重复]

我需要以下查询：

createList(string commaSeparatedElements) {
    ...
    SqlCommand query = new SqlCommand("SELECT * FROM table WHERE id IN ("+commaSeparatedElements+")");
    ...
}

我想使用参数化查询来编写它，因此会检查字符串中的每个元素以防止 Sql 注入。

伪代码：

createList(string commaSeparatedElements) {
    ...
    SqlParameterList elements = new SqlParameterList("@elements", SqlDbType.Int);
    SqlParameterList.Values = commaSeparatedElements.split(new Char[1] {','});
    SqlCommand query = new SqlCommand("SELECT * FROM table WHERE id IN (@elements)");
    query.Parameters.Add(elements);
    ...
}

C# 中是否存在类似的东西，或者我必须自己编写它？

编辑：感谢您的所有答案。由于我尽量不使用我不理解的代码（过去几天有太多糟糕的经历），因此，短小精悍的表值参数尽管可能非常适合我的需求，但却是禁止的。我刚刚做了一个循环。

string[] elements = commaSeparatedElements.split(new Char[1] {','});
StringList idParamList = new StringList();
for(int i=0;i<elements.Count;i++) {
    query.Parameters.AddWithValue("@element"+i,Convert.ToInt32(elements[i]));
    idParamList.Add("@element" + i);
}
SqlCommand query = new SqlCommand("SELECT * FROM table WHERE id IN ("+String.Join(",",idParamList)+")");

"dapper" http://www.nuget.org/packages/Dapper有一些巫术：

var ids = new List<int> {1,2,3,4,5};
var rows = conn.Query<SomeType>("select * from table where id in @ids",
      new { ids }).ToList();

你会注意到缺少括号in用法; “dapper”发现了这一点，并自动执行参数扩展。另外，它会为您处理所有命令详细信息，包括将数据映射回SomeType实例。

在上面的示例中，它将扩展为（大约）等于：

int ids0 = 1, ids1 = 2, ids2 = 3, ids3 = 4, ids4 = 5;
var rows = conn.Query<SomeType>(
    "select * from table where id in (@ids0,@ids1,@ids2,@ids3,@ids4)",
      new { ids0, ids1, ids2, ids3, ids4 }).ToList();