日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
LINQtoSQL:如何直接執(zhí)行SQL語句

1、ExecuteQuery方法

創(chuàng)新互聯(lián)建站于2013年開始,是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司,擁有項目做網(wǎng)站、網(wǎng)站建設(shè)網(wǎng)站策劃,項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命,1280元豐滿做網(wǎng)站,已為上家服務(wù),為豐滿各地企業(yè)和個人服務(wù),聯(lián)系電話:13518219792

看命名,我們很容易聯(lián)想到ADO.NET里熟悉的Command的ExecuteNonQuery方法,但是VS的智能提示告訴我們這個方法返回的是一個泛型集合,應(yīng)該“所思非所得”。下面通過一個簡單方法,驗證我們的猜想(數(shù)據(jù)庫設(shè)計可以參考這一篇):

 
 
 
 
    
  
  
  
  
  1. ///    
    2.   
  
  
  
  2. /// 直接執(zhí)行sql語句,獲取總?cè)藬?shù)   
    3.   
  
  
  
  3. ///    
    4.   
  
  
  
  4. ///    
    5.   
  
  
  
  5.  public int GetTotalCount()   
    6.   
  
  
  
  6. {   
    7.   
  
  
  
  7.   string strSql = "SELECT COUNT(0) FROM Person(NOLOCK)";   
    8.   
  
  
  
  8.    var query = dataContext.ExecuteQuery(strSql);   
    9.   
  
  
  
  9. int result = query.First();   
    10.   
  
  
  
  10. Console.WriteLine();   
    11.   
  
  
  
  11. Console.WriteLine("total count:{0}", result);   
    12.   
  
  
  
  12. return result;   
    13.   
  
  
  
    14.

調(diào)試的時候,通過IntelliTrace跟蹤到:

毫無疑問,上面的圖片說明最初的想法是不正確的,”ADO.NET:執(zhí)行Reader…”云云,讓我們更加堅信它實際執(zhí)行的應(yīng)該是ExecuteReader方法。當然最簡單的方法是直接查看它的方法說明:

 
 
 
 
    
  
  
  
  
  1. // 摘要:   
    2.   
  
  
  
  2. //     直接對數(shù)據(jù)庫執(zhí)行 SQL 查詢并返回對象。   
    3.   
  
  
  
  3. //   
    4.   
  
  
  
  4. // 參數(shù):   
    5.   
  
  
  
  5. //   query:   
    6.   
  
  
  
  6. //     要執(zhí)行的 SQL 查詢。   
    7.   
  
  
  
  7. //   
    8.   
  
  
  
  8. //   parameters:   
    9.   
  
  
  
  9. //     要傳遞給命令的參數(shù)數(shù)組。注意下面的行為:如果數(shù)組中的對象的數(shù)目小于命令字符串中已標識的最大數(shù),
    10.   
  
  
  
  10. 則會引發(fā)異常。如果數(shù)組包含未在命令字符串中引用的對象,則不會引發(fā)異常。如果某參數(shù)為   
    11.   
  
  
  
  11. //     null,則該參數(shù)會轉(zhuǎn)換為 DBNull.Value。   
    12.   
  
  
  
  12. //   
    13.   
  
  
  
  13. // 類型參數(shù):   
    14.   
  
  
  
  14. //   TResult:   
    15.   
  
  
  
  15. //     返回的集合中的元素的類型。   
    16.   
  
  
  
  16.  //   
    17.   
  
  
  
  17. // 返回結(jié)果:   
    18.   
  
  
  
  18. //     由查詢返回的對象的集合。   
    19.   
  
  
  
  19. public IEnumerable ExecuteQuery(string query, params object[] parameters); 
    20.

ExecuteQuery方法還有一個非泛型方法:

 
 
 
 
    
  
  
  
  
  1. //   
    2.   
  
  
  
  2. // 摘要:   
    3.   
  
  
  
  3. //     直接對數(shù)據(jù)庫執(zhí)行 SQL 查詢。   
    4.   
  
  
  
  4. //   
    5.   
  
  
  
  5. // 參數(shù):   
    6.   
  
  
  
  6. //   elementType:   
    7.   
  
  
  
  7. //       
    8.

要返回的 System.Collections.Generic.IEnumerable 的類型。使查詢結(jié)果中的列與對象中的字段或?qū)傩韵嗥ヅ涞乃惴ㄈ缦滤荆喝绻侄位驅(qū)傩杂成涞教囟忻Q,則結(jié)果集中應(yīng)包含該列名稱。如果未映射字段或?qū)傩?,則結(jié)果集中應(yīng)包含其名稱與該字段或?qū)傩韵嗤牧?。通過先查找區(qū)分大小寫的匹配來執(zhí)行比較。如果未找到匹配項,則會繼續(xù)搜索不區(qū)分大小寫的匹配項。如果同時滿足下列所有條件,則該查詢應(yīng)當返回(除延遲加載的對象外的)對象的所有跟蹤的字段和屬性:T

 
 
 
 
    
  
  
  
  
  1. //     是由 System.Data.Linq.DataContext 顯式跟蹤的實體。
    2.   
  
  
  
  2. System.Data.Linq.DataContext.ObjectTrackingEnabled   
    3.   
  
  
  
  3. //     為 true。實體具有主鍵。否則會引發(fā)異常。   
    4.   
  
  
  
  4. //   
    5.   
  
  
  
  5. //   query:   
    6.   
  
  
  
  6. //     要執(zhí)行的 SQL 查詢。   
    7.   
  
  
  
  7. //   
    8.   
  
  
  
  8. //   parameters:   
    9.   
  
  
  
  9. //     要傳遞給命令的參數(shù)數(shù)組。注意下面的行為:如果數(shù)組中的對象的數(shù)目小于命令字符串中已標識的最大數(shù),
    10.   
  
  
  
  10. 則會引發(fā)異常。如果數(shù)組包含未在命令字符串中引用的對象,則不會引發(fā)異常。如果某參數(shù)為   
    11.   
  
  
  
  11. //     null,則該參數(shù)會轉(zhuǎn)換為 DBNull.Value。   
    12.   
  
  
  
  12. //   
    13.   
  
  
  
  13. // 返回結(jié)果:   
    14.   
  
  
  
  14. //     由查詢返回的對象的 System.Collections.Generic.IEnumerable 集合。   
    15.   
  
  
  
  15. public IEnumerable ExecuteQuery(Type elementType, string query, params object[] parameters);  
    16.   
  
  
  
  16.  
    17.

看它的參數(shù)需要多傳遞一個elementType,明顯不如泛型方法簡潔。

2、ExecuteCommand方法

同樣道理,這個方法立刻讓我們聯(lián)想到(世界沒有聯(lián)想,生活將會怎樣?),聯(lián)想到,等等,不知聯(lián)想到什么。然后我們看一下方法使用說明:

 
 
 
 
    
  
  
  
  
  1. //   
    2.   
  
  
  
  2. // 摘要:   
    3.   
  
  
  
  3. //     直接對數(shù)據(jù)庫執(zhí)行 SQL 命令。   
    4.   
  
  
  
  4. //   
    5.   
  
  
  
  5. // 參數(shù):   
    6.   
  
  
  
  6. //   command:   
    7.   
  
  
  
  7. //     要執(zhí)行的 SQL 命令。   
    8.   
  
  
  
  8. //   
    9.   
  
  
  
  9. //   parameters:   
    10.   
  
  
  
  10. //     要傳遞給命令的參數(shù)數(shù)組。注意下面的行為:如果數(shù)組中的對象的數(shù)目小于命令字符串中已標識的最大數(shù),
    11.   
  
  
  
  11. 則會引發(fā)異常。如果數(shù)組包含未在命令字符串中引用的對象,則不會引發(fā)異常。如果任一參數(shù)為   
    12.   
  
  
  
  12. //     null,則該參數(shù)會轉(zhuǎn)換為 DBNull.Value。   
    13.   
  
  
  
  13. //   
    14.   
  
  
  
  14. // 返回結(jié)果:   
    15.   
  
  
  
  15. //     一個 int,表示所執(zhí)行命令修改的行數(shù)。   
    16.   
  
  
  
  16. public int ExecuteCommand(string command, params object[] parameters); 
    17.

到這里,看它的返回類型為int,表示執(zhí)行命令修改的行數(shù),這次很容易想到ExecuteNonQuery方法。對不對呢?通過下面的代碼證明我們的設(shè)想:

 
 
 
 
    
  
  
  
  
  1. ///    
    2.   
  
  
  
  2. /// 直接執(zhí)行sql語句 根據(jù)用戶Id更新體重   
    3.   
  
  
  
  3. ///    
    4.   
  
  
  
  4. /// 用戶Id   
    5.   
  
  
  
  5. /// 更新后的體重   
    6.   
  
  
  
  6. ///    
    7.   
  
  
  
  7. public int ModifyWeightById(int id, double destWeight)   
    8.   
  
  
  
  8. {   
    9.   
  
  
  
  9.   string strSql = string.Format("UPDATE Person SET Weight={0} WHERE Id={1}", destWeight, id);   
    10.   
  
  
  
  10.  int result = dataContext.ExecuteCommand(strSql);   
    11.   
  
  
  
  11.  Console.WriteLine();   
    12.   
  
  
  
  12. Console.WriteLine("affect num:{0}", result);   
    13.   
  
  
  
  13. return result;   
    14.   
  
  
  
    15.

調(diào)試過程中,通過IntelliTrace可以很清楚地捕獲:

“ADO.NET:執(zhí)行NonQuery…”基本可以斷言我們的設(shè)想是正確的。

3、防止sql注入

1和2中,執(zhí)行sql語句的兩個方法都有一個params 類型的參數(shù),我們又會想到ADO.NET非常重要的sql語句的參數(shù)化防止sql注入問題。下面通過一個方法,看看linq2sql可不可以防止sql注入。

(1)、直接執(zhí)行拼接的sql語句(有風險)

 
 
 
 
    
  
  
  
  
  1. ///    
    2.   
  
  
  
  2. /// 直接執(zhí)行sql語句 根據(jù)用戶Id更新FirstName   
    3.   
  
  
  
  3. ///    
    4.   
  
  
  
  4. /// 用戶Id   
    5.   
  
  
  
  5. /// 更新后的FirstName   
    6.   
  
  
  
  6. ///    
    7.   
  
  
  
  7. public int ModifyNameById(int id, string destName)   
    8.   
  
  
  
  8. {   
    9.   
  
  
  
  9. string strSql = string.Format("UPDATE Person SET FirstName='{0}' WHERE Id={1}", destName, id);
    10.   
  
  
  
  10. //這么拼接有風險   
    11.   
  
  
  
  11.  int result = dataContext.ExecuteCommand(strSql);   
    12.   
  
  
  
  12. Console.WriteLine();   
    13.   
  
  
  
  13. Console.WriteLine("affect num:{0}", result);   
    14.   
  
  
  
  14.  return result;   
    15.   
  
  
  
  15.  } 
    16.

然后,在客戶端這樣調(diào)用這個方法:

 
 
 
 
    
  
  
  
  
  1. int result = ServiceFactory.CreatePersonService().ModifyNameById(10, "'Anders'");
    2.   
  
  
  
  2. //更新id為10的人的FirstName 
    3.

運行的時候,直接拋出異常,提示“Anders”附近有語法錯誤。毫無疑問,它執(zhí)行的sql語句:

 
 
 
 
    
  
  
  
  
  1. UPDATE Person SET FirstName=''Anders'' WHERE Id=10 
    2.

是不能通過的,同時證明了string.format函數(shù)不能有效防止sql注入。

(2)、直接通過linq方法的參數(shù)傳遞,結(jié)果如何呢?

改進(1)的傳參方法:

 
 
 
 
    
  
  
  
  
  1. ///    
    2.   
  
  
  
  2. /// 直接執(zhí)行sql語句 根據(jù)用戶Id更新FirstName   
    3.   
  
  
  
  3. ///    
    4.   
  
  
  
  4. /// 用戶Id   
    5.   
  
  
  
  5. /// 更新后的FirstName   
    6.   
  
  
  
  6. ///    
    7.   
  
  
  
  7. public int ModifyNameById(int id, string destName)   
    8.   
  
  
  
  8.  {   
    9.   
  
  
  
  9. //string strSql = string.Format("UPDATE Person SET FirstName='{0}' WHERE Id={1}", destName, id);
    10.   
  
  
  
  10. //這么拼接有風險   
    11.   
  
  
  
  11. //int result = dataContext.ExecuteCommand(strSql);   
    12.   
  
  
  
  12.  string strSql = "UPDATE Person SET FirstName={0} WHERE Id={1}";   
    13.   
  
  
  
  13. int result = dataContext.ExecuteCommand(strSql, new object[] { destName, id });   
    14.   
  
  
  
  14. Console.WriteLine();   
    15.   
  
  
  
  15.  Console.WriteLine("affect num:{0}", result);   
    16.   
  
  
  
  16.  return result;   
    17.   
  
  
  
    18.

再次通過如下的方式調(diào)用:

 
 
 
 
    
  
  
  
  
  1. int result = ServiceFactory.CreatePersonService().ModifyNameById(10, "'Anders'");
    2.   
  
  
  
  2. //更新id為10的人的FirstName 
    3.

這一次運行正常嗎?經(jīng)測試,真的真的是真的正常,終于可以長松一口氣了。查看數(shù)據(jù)庫,Id為10的那一條記錄的FirstName結(jié)果改變成了“'Anders'”(帶單引號),明白ADO.NET工作原理的都知道這個一點也不神奇,不是嗎?

對比(1)和(2),我們發(fā)現(xiàn)還是用linq2sql的源生方法傳參比較好,通過拼接sql應(yīng)該盡量避免。

到這里,可能你會認為上面1、2、3全是廢話,知道怎么用不就行了嘛?!其實很長一部分時間我也是這么想這么做的。工作久了,早就習慣了不求甚解,現(xiàn)在看書,看園子里高手的博客,多多少少會有點反思。

4、思考

ADO.NET中比較常用的ExecuteScalar方法,在linq2sql應(yīng)該怎么實現(xiàn)呢?您嘗試使用過了嗎?

原文鏈接:http://www.cnblogs.com/jeffwongishandsome/archive/2010/11/03/1868438.html


分享標題:LINQtoSQL:如何直接執(zhí)行SQL語句
URL鏈接:http://www.5511xx.com/article/djcjjhj.html