永发信息网

如何直接执行SQL语句

答案:1  悬赏:0  手机版
解决时间 2021-11-12 19:20
如何直接执行SQL语句
最佳答案
1、ExecuteQuery方法

  看命名,我们很容易联想到ADO.NET里熟悉的Command的ExecuteNonQuery方法,但是VS的智能提示告诉我们这个方法返回的是一个泛型集合,应该“所思非所得”。下面通过一个简单方法,验证我们的猜想(数据库设计可以参考这一篇):

  ///
  /// 直接执行sql语句,获取总人数
  ///

  ///
  publicint GetTotalCount()
  {
  string strSql = "SELECt COUNT(0) FROM Person(NOLOCK)";
   var query = dataContext.ExecuteQuery(strSql);
  int result = query.First();
  Console.WriteLine();
  Console.WriteLine("total count:{0}", result);
  return result;
  }

  调试的时候,通过IntelliTrace跟踪到:

  毫无疑问,上面的图片说明最初的想法是不正确的,”ADO.NET:执行Reader…”云云,让我们更加坚信它实际执行的应该是ExecuteReader方法。当然最简单的方法是直接查看它的方法说明:

  // 摘要:
  // 直接对数据库执行 SQL 查询并返回对象。
  //
  // 参数:
  // query:
  // 要执行的 SQL 查询。
  //
  // parameters:
  // 要传递给命令的参数数组。注意下面的行为:如果数组中的对象的数目小于命令字符串中已标识的最大数,
  则会引发异常。如果数组包含未在命令字符串中引用的对象,则不会引发异常。如果某参数为
  // null,则该参数会转换为 DBNull.Value。
  //
  // 类型参数:
  // TResult:
  // 返回的集合中的元素的类型。
  //
  // 返回结果:
  // 由查询返回的对象的集合。
  public IEnumerable ExecuteQuery(string query, paramsobject[] parameters);

  ExecuteQuery方法还有一个非泛型方法:

  //
  // 摘要:
  // 直接对数据库执行 SQL 查询。
  //
  // 参数:
  // elementType:
  //

  要返回的 System.Collections.Generic.IEnumerable
的类型。使查询结果中的列与对象中的字段或属性相匹配的算法如下所示:如果字段或属性映射到特定列名称,则结果集中应包含该列名称。如果未映射字段或属性,则结果集中应包含其名称与该字段或属性相同的列。通过先查找区分大小写的匹配来执行比较。如果未找到匹配项,则会继续搜索不区分大小写的匹配项。如果同时满足下列所有条件,则该查询应当返回(除延迟加载的对象外的)对象的所有跟踪的字段和属性:T

  // 是由 System.Data.Linq.DataContext 显式跟踪的实体。
  System.Data.Linq.DataContext.ObjectTrackingEnabled
  // 为 true。实体具有主键。否则会引发异常。
  //
  // query:
  // 要执行的 SQL 查询。
  //
  // parameters:
  // 要传递给命令的参数数组。注意下面的行为:如果数组中的对象的数目小于命令字符串中已标识的最大数,
  则会引发异常。如果数组包含未在命令字符串中引用的对象,则不会引发异常。如果某参数为
  // null,则该参数会转换为 DBNull.Value。
  //
  // 返回结果:
  // 由查询返回的对象的 System.Collections.Generic.IEnumerable 集合。
  public IEnumerable ExecuteQuery(Type elementType, string query, paramsobject[] parameters);

  看它的参数需要多传递一个elementType,明显不如泛型方法简洁。

  2、ExecuteCommand方法

  同样道理,这个方法立刻让我们联想到(世界没有联想,生活将会怎样?),联想到,等等,不知联想到什么。然后我们看一下方法使用说明:

  //
  // 摘要:
  // 直接对数据库执行 SQL 命令。
  //
  // 参数:
  // command:
  // 要执行的 SQL 命令。
  //
  // parameters:
  // 要传递给命令的参数数组。注意下面的行为:如果数组中的对象的数目小于命令字符串中已标识的最大数,
  则会引发异常。如果数组包含未在命令字符串中引用的对象,则不会引发异常。如果任一参数为
  // null,则该参数会转换为 DBNull.Value。
  //
  // 返回结果:
  // 一个 int,表示所执行命令修改的行数。
  publicint ExecuteCommand(string command, paramsobject[] parameters);

  到这里,看它的返回类型为int,表示执行命令修改的行数,这次很容易想到ExecuteNonQuery方法。对不对呢?通过下面的代码证明我们的设想:

  ///
  /// 直接执行sql语句 根据用户Id更新体重
  ///

  /// 用户Id
  /// 更新后的体重
  ///
  publicint ModifyWeightById(int id, double destWeight)
  {
  string strSql = string.Format("UPDATE Person SET Weight={0} WHERe Id={1}", destWeight, id);
  int result = dataContext.ExecuteCommand(strSql);
   Console.WriteLine();
  Console.WriteLine("affect num:{0}", result);
  return result;
  }

  调试过程中,通过IntelliTrace可以很清楚地捕获:

  

  “ADO.NET:执行NonQuery…”基本可以断言我们的设想是正确的。

  3、防止sql注入

  1和2中,执行sql语句的两个方法都有一个params 类型的参数,我们又会想到ADO.NET非常重要的sql语句的参数化防止sql注入问题。下面通过一个方法,看看linq2sql可不可以防止sql注入。

  (1)、直接执行拼接的sql语句(有风险)

  ///
  /// 直接执行sql语句 根据用户Id更新FirstName
  ///

  /// 用户Id
  /// 更新后的FirstName
  ///
  publicint ModifyNameById(int id, string destName)
  {
  string strSql = string.Format("UPDATE Person SET FirstName='{0}' WHERe Id={1}", destName, id);
  //这么拼接有风险
  int result = dataContext.ExecuteCommand(strSql);
  Console.WriteLine();
  Console.WriteLine("affect num:{0}", result);
  return result;
   }

  然后,在客户端这样调用这个方法:

  int result = ServiceFactory.CreatePersonService().ModifyNameById(10, "'Anders'");
  //更新id为10的人的FirstName
我要举报
如以上问答信息为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
大家都在看
求nagi和sho的所有资源~一定要全哦。请私信我
江苏交通工程投资咨询有限公司 吴越分公司 待
Call什么意思请老师回答
求高中英语精短美文或优美诗文,那种很短的,
怎样用六爻预测买房子
河北涞水离大石窝多远
海英菜和什么食物不能同食?
广州从化化街口到江西全南县南迳有多少公里
我女朋友说她对幸福重新有了渴望,是什么意思
冰糖心苹果一箱多少斤
前几天去TY,JS和自己喜欢的一个女孩很像
水处理系统的组成及作用是什么?
正德演义的片头曲谁唱的 ?
求dialux evo的插件库或者模型库
3d20160967北京一语定胆字谜
推荐资讯
眉毛眼睛清秀迷人比喻女子的容貌端庄美丽是什
想投保商业保险,以前的住院经历会对投保有什
圆圈在屏幕上被显示成鸭蛋怎么调
合肥到余姚413公里处在哪
苹果和白菜哪个含水多
皖c轿车在慈溪违章停车,在北仑小港可以处理吗
老干妈豆豉中的油为什么是粉红的
怎样对视频局部画面进行gif截图?
这个 8毫米的南红值2000吗 80克多点
潜江市中国人民银行(潜江市支行)地址是什么,
吴庄村地址在什么地方,想过去办事,
33乘18估算是多少
正方形一边上任一点到这个正方形两条对角线的
阴历怎么看 ?