某天 , 在review项目中代码的时候, 发现有哥们直接通过 Database.ExecuteSqlCommand("select * from order_info where  company like '%abc%' ")的方式与数据库查询, 私下问其是否知道这个方法还有一个带有params object[] parameters参数重载, 对方爽快的回答:"知道啊 ,只是每次都要写一大堆的SqlParameter[] 定义, 实在是太过麻烦了,特别是有的时候查询参数太多了...." .细想一下, 确实麻烦得很,感觉又回到了直接写sqlhelper的时代了.不过转念一想, 这个方法很容易改进, 于是便有了这篇随笔,希望能给有需要的朋友一些提示.

1.目标,我们希望调用者能像字符串格式化,类似   string.Formart("select  * from order_info where company like {0}","abc") 一样去方便使用,而不再关心是否是否需要参数化,但同时数据库在执行的时候,自动转化为参数化的语句.

2.略加思考:首先我们利用 string.Formart 自动将sqlCommand 格式化为带参数的一个字符串, 类似 "select  * from order_info where company like  @p0", 同时自动创建查询参数@p0= abc,即可.

3.于是,便有了如下方法片段

private Tuple<string, SqlParameter[]> ProcessSqlCommand(string sqlCommand, params object[] param)

{

   var tempParamKeyValDic = param.Select((item, i) => new KeyValuePair<string, object>("@p" + i, item))

                               .ToDictionary(k => k.Key, v => v.Value); 

   var tempSqlCommand = string.Format(sqlCommand, tempParamKeyValDic.Keys.ToArray());

   var tempParams = tempParamKeyValDic.Select(t => new SqlParameter(t.Key, t.Value)).ToArray();

   return Tuple.Create(tempSqlCommand, tempParams);

}

4. 同时对外提供两个类似的ExecSqlCommand 和 SqlQuery 方法即可.

public int ExecSqlCommand(string sqlCommand, params object[] param)

{

    if (param == null || param.Length == )

    {

        return Context.Database.ExecuteSqlCommand(sqlCommand);

    }

    var temp = ProcessSqlCommand(sqlCommand, param);

    return Context.Database.ExecuteSqlCommand(temp.Item1, temp.Item2);

}

public List<T> SqlQuery<T>(string sqlCommand, params object[] param)

{

    if (param == null || param.Length == )

    {

        return Context.Database.SqlQuery<T>(sqlCommand).ToList();

    }

    var temp = ProcessSqlCommand(sqlCommand, param);

    return Context.Database.SqlQuery<T>(temp.Item1, temp.Item2).ToList();

}

5. 客户端在调用的时候,直接使用类似如下模式

var data=repository.SqlQuery<OrderInfo>(“select  * from order_info where company like  {0}","abc”);

后记:

1. 事关数据安全无小事, 任何侥幸心理都应该避免;

2. 当有人在埋怨程序不好写, 或者框架不好用的时候 , 需要换位思考,并极力改进;

3. 大家在谈论项目框架或系统架构的时候,并不是时时刻刻都需要关注类似高大上的高并发架构图, 有的时候还得压住浮躁的心态关注眼前的蹩脚之处.

关于EF中直接执行sql语句的参数化问题的更多相关文章

  1. SQL*PLUS中批量执行SQL语句

    SQL*PLUS中批量执行SQL语句 今天由于工作的需要,要在CMD中批量执行大量的SQL语句,对于Oracle学习还处在入门阶段的我,只能硬着头皮到处去寻找资料(主要是网络资料,也包括自己的电子书) ...

  2. Eclipse中直接执行sql语句(图文说明)

    转自:https://blog.csdn.net/changjyzzu/article/details/45487847 1.首先新建sql文件,然后打开文件 22.右键点击空白处,点击set-con ...

  3. Django中直接执行SQL语句

    欢迎加入python学习交流群 667279387 今天在django views.py看到同事写的代码里面有段关于数据库查询的语句.因为涉及多个表的查询,所以django 的models的查询无法满 ...

  4. SQLSERVER 在PROCEDURE 中动态执行SQL语句【EXEC】并获取

    1.直接上代码 CREATE PROCEDURE [dbo].[TEST] AS BEGIN DECLARE )='N8-4F', --構建SQL需要的條件 ),--構建後的SQL語句 @cnt in ...

  5. linq直接执行sql语句

    1.ExecuteQuery方法 看命名,我们很容易联想到ado.net里熟悉的Command的ExecuteNonQuery方法,但是VS的智能提示告诉我们这个方法返回的是一个泛型集合,应该&quo ...

  6. PL/SQL中直接写SQL语句和用EXECUTE IMMEDIATE方法的区别

    PL/SQL中直接写SQL语句和用EXECUTE IMMEDIATE方法的区别 在PL/SQL中在执行SQL语句时可以直接写SQL或者可以把一个SQL语句拼成一个字符串,如下: select * fr ...

  7. EF中执行sql语句,以及事务

    EF to sql string sql = "select T_Task.BSID,T_Task.CloseDate,T_Task.CompleteDate,T_Task.CloseUse ...

  8. 在EF中执行SQL语句

    你可能要问,我用EF不就为了避免写SQL吗?如果要写SQL我不如直接用ADO.NET得了.话虽然这么说没错,可有些时候使用EF操作数据还是有一些不方便,例如让你根据条件删除一组记录,如果按照正常的流程 ...

  9. EF Core中执行Sql语句查询操作之FromSql,ExecuteSqlCommand,SqlQuery

    一.目前EF Core的版本为V2.1 相比较EF Core v1.0 目前已经增加了不少功能. EF Core除了常用的增删改模型操作,Sql语句在不少项目中是不能避免的. 在EF Core中上下文 ...

随机推荐

  1. Oracle的基本学习(二)—基本查询

    一.基本查询语句 (1)查看当前用户 show user;   (2)查看当前用户下的表 select * from tab;   (3)查看员工表的结构 desc emp;   (4)选择全部列 S ...

  2. window server2012 许可证过期

    研发的服务器装得windows server 2012 Standard ,许可证只有半年使用时间,过期了老是自动关机,于是在网上找了下,最终找了个可以用的方法,记录下,留用 步骤: 1.cmd命令打 ...

  3. 体验VS2017的Live Unit Testing

    相对于传统的Unit Test,VS2017 带来了一个新的功能,叫Live Unit Testing,从字面意思理解就是实时单元测试,在实际的使用中,这个功能就是可以在编写代码的时候进行实时的bac ...

  4. linux_cmd_list_0

    一.文件 touch file # 创建空白文件 rm -rf 目录名 # 不提示删除非空目录(-r:递归删除 -f强制) dos2unix # windows文本转linux文本 unix2dos ...

  5. Nature:新发现挑战神经元作用传统理论 [转自科学网]

    美德科学家独立进行的两项最新研究表明,单个神经元的激发就足以影响学习和行为.这一结论挑战了人们长期以来的认识,即数千个神经元的有序排列才能够产生一个行为反应.这两篇论文12月19日在线发表于<自 ...

  6. Ubuntu16.04安装NVIDIA驱动时的一些坑与解决方案

    这几天在新购置的笔记本上部署工作环境,在安装NVIDIA驱动的时候遇到了不少坑,重装了很多次,在Ubuntu论坛以及其他资料源看了很多大牛的分析,最终终于解决了一个又一个问题,过程比较艰辛,所以决定写 ...

  7. [Oracle]Audit(二)--清理Audit数据

    在上一篇,初步了解了Audit的作用以及如何使用Audit,本篇记录如何手动清理Audit数据. (一) 概述 Audit的数据主要存储在sys.aud$表中,该表默认位于system表空间中,我们根 ...

  8. 【 js 模块加载 】深入学习模块化加载(node.js 模块源码)

    一.模块规范 说到模块化加载,就不得先说一说模块规范.模块规范是用来约束每个模块,让其必须按照一定的格式编写.AMD,CMD,CommonJS 是目前最常用的三种模块化书写规范.  1.AMD(Asy ...

  9. 为何PS出的RSS总和大于实际物理内存

    使用ps  aux  查看系统进程时,第六列即 RSS列显示的就是进程使用的物理内存. 可是把系统所有进程的该列相加时,得到的总和又远远高于系统实际的物理内存?这到底是怎么回事呢? 看一看linux是 ...

  10. openwrt通过libcurl上传图片,服务器端通过PHP接收文件

    一.客户端文件上传 libcurl上传文件有两种方式: 1.直接上传文件,类似form表单<input type=”file” />,<form enctype=”multipart ...