临时解决方案代码 #

直接使用CriteriaOperator.Parse构造查询条件，将ID列表拼接为字符串嵌入SQL，绕过XPO的自动参数化：

List<int> idsOfRecordsToRetrieve = /* 包含数千个ID的列表 */;
// 将ID列表拼接为逗号分隔的字符串
string idLiteralList = string.Join(",", idsOfRecordsToRetrieve);
// 构造非参数化的IN条件
CriteriaOperator queryCriteria = CriteriaOperator.Parse("Id in (?)", idLiteralList);
// 执行查询
List<Person> people = session.GetObjectsFromQuery<Person>(queryCriteria, null, false, null).ToList();

原理说明 #

• XPQuery的LINQ Provider会对所有外部变量（比如示例中的idsOfRecordsToRetrieve）自动生成参数，导致数千个ID对应数千个SQL参数，触发SQL Server的2100个参数上限。
• CriteriaOperator.Parse传入拼接好的ID字符串时，会直接将字符串内容作为SQL字面量嵌入IN子句，生成类似select ... from Person where id in (100,205,215,...)的SQL，完全避免参数化。

注意事项 #

• SQL注入风险：因为ID是整数类型且由内部系统生成（而非用户输入），拼接字符串不会引入SQL注入风险；如果是用户输入的ID，需先做严格校验。
• SQL语句长度：5000个整数拼接后的字符串长度远低于SQL Server的单语句长度限制（约1MB），无需担心截断问题。
• 查询计划复用：直接嵌入字面量会导致不同ID列表生成不同SQL，无法复用查询计划，但这是临时方案，迁移到新系统后即可替换，无需长期考虑。

内容的提问来源于stack exchange，提问作者ImWithDerp