刚好碰到过类似的批量数据处理场景，给你一套安全又高效的解决方案——核心是用SQL Server的表值参数（TVP）+ MERGE语句，完美解决你现在的注入风险、性能问题和参数报错的坑。

先分析你当前的问题 #

• 方案一的游标拼接：直接把参数拼进SQL字符串，完全是SQL注入的重灾区，生产环境绝对不能用；而且循环执行多次SQL的性能极差，大量数据下网络往返和SQL解析的开销会非常大。
• 方案二的参数化报错：你是把多轮循环需要的所有参数一次性传给了数据库，但数据库默认只会解析单次Update/Insert需要的参数数量，自然就报“预期39个，收到702个”的错——核心是你把多轮的参数混在一起传递，驱动无法识别每一轮对应的参数组。

最优解决方案：TVP + MERGE #

这是SQL Server处理批量UPSERT（先更新后插入）的标准做法，既安全又高效，还能避免多次数据库往返。

步骤1：创建自定义表类型

首先定义一个和你要处理的数据结构匹配的表类型，用来批量传递参数：

CREATE TYPE OrderItemHistoryBatch AS TABLE (
    -- 这里要和orderItemsHistory表的字段类型、长度完全对应
    OrderId VARCHAR(50),
    StoreNo VARCHAR(20),
    Position VARCHAR(10), -- 这是你原WHERE条件里的匹配字段
    ItemPackTime DATETIME,
    TimeToShow DATETIME
    -- 把你所有需要更新/插入的字段都列出来
);

步骤2：编写批量UPSERT的存储过程

用MERGE语句把Update和Insert的逻辑合并，一次性处理所有批量数据：

CREATE PROCEDURE BatchUpsertOrderItemHistory
    @BatchData OrderItemHistoryBatch READONLY
AS
BEGIN
    SET NOCOUNT ON; -- 避免返回多余的行数统计信息

    MERGE INTO [orderItemsHistory] AS Target
    -- 用TVP作为批量数据源
    USING @BatchData AS Source
        -- 这里写你原WHERE条件里的匹配规则，用来判断是执行Update还是Insert
        ON Target.OrderId = Source.OrderId 
        AND Target.StoreNo = Source.StoreNo
        AND Target.Position = Source.Position
    -- 如果匹配到已有数据，执行Update
    WHEN MATCHED THEN
        UPDATE SET
            Target.ItemPackTime = Source.ItemPackTime,
            Target.TimeToShow = Source.TimeToShow
            -- 把其他需要更新的字段逐一添加进来
    -- 如果没匹配到数据，执行Insert
    WHEN NOT MATCHED THEN
        INSERT (OrderId, StoreNo, Position, ItemPackTime, TimeToShow /* 其他字段 */)
        VALUES (Source.OrderId, Source.StoreNo, Source.Position, Source.ItemPackTime, Source.TimeToShow /* 其他字段 */);
END;

步骤3：在应用程序中调用存储过程

在你的代码里，把要处理的所有数据批量构造为表值参数，然后一次调用存储过程即可：

• 比如在C#中，可以用DataTable填充数据，或者用List<SqlDataRecord>构造TVP；
• 在Python中，用pyodbc的execute方法传递TVP时，需要指定参数类型为SQL_SS_TABLE。

这样只需要一次数据库调用就处理完所有批量数据，完全没有SQL注入风险，传输和解析的性能比你原来的长SQL好太多。

为什么这个方案比你之前的好？ #

• 绝对安全：全程参数化传递，没有任何字符串拼接操作，彻底杜绝SQL注入风险。
• 性能拉满：单次调用处理所有数据，减少网络往返开销；SQL Server对TVP的解析效率远高于拼接的长SQL，MERGE语句的执行效率也比循环Update/Insert高很多。
• 逻辑简洁：用MERGE把Update和Insert的逻辑合并，不需要写复杂的游标或循环，代码维护起来更简单。

额外注意事项 #

• 表类型的字段类型、长度必须和目标表完全一致，避免类型转换错误。
• 如果你的批量数据量特别大（比如超过1万条），可以分批次处理（比如每1000条一批），避免内存压力。
• 确保目标表的ON条件里的字段（比如OrderId+StoreNo+Position）有联合索引，这样MERGE的匹配效率会更高，避免全表扫描。

内容的提问来源于stack exchange，提问作者Or Yaacov