代码改变世界

关于EF中直接执行sql语句的参数化问题

2017-05-25 11:05  谢中涞  阅读(3002)  评论(3编辑  收藏  举报

某天 , 在review项目中代码的时候, 发现有哥们直接通过 Database.ExecuteSqlCommand("select * from order_info where  company like '%abc%' ")的方式与数据库查询, 私下问其是否知道这个方法还有一个带有params object[] parameters参数重载, 对方爽快的回答:"知道啊 ,只是每次都要写一大堆的SqlParameter[] 定义, 实在是太过麻烦了,特别是有的时候查询参数太多了...." .细想一下, 确实麻烦得很,感觉又回到了直接写sqlhelper的时代了.不过转念一想, 这个方法很容易改进, 于是便有了这篇随笔,希望能给有需要的朋友一些提示.

1.目标,我们希望调用者能像字符串格式化,类似   string.Formart("select  * from order_info where company like {0}","abc") 一样去方便使用,而不再关心是否是否需要参数化,但同时数据库在执行的时候,自动转化为参数化的语句.

2.略加思考:首先我们利用 string.Formart 自动将sqlCommand 格式化为带参数的一个字符串, 类似 "select  * from order_info where company like  @p0", 同时自动创建查询参数@p0= abc,即可.

3.于是,便有了如下方法片段

private Tuple<string, SqlParameter[]> ProcessSqlCommand(string sqlCommand, params object[] param)
{
   var tempParamKeyValDic = param.Select((item, i) => new KeyValuePair<string, object>("@p" + i, item))
                               .ToDictionary(k => k.Key, v => v.Value); 
            
   var tempSqlCommand = string.Format(sqlCommand, tempParamKeyValDic.Keys.ToArray());
   var tempParams = tempParamKeyValDic.Select(t => new SqlParameter(t.Key, t.Value)).ToArray();

   return Tuple.Create(tempSqlCommand, tempParams);
}

 

4. 同时对外提供两个类似的ExecSqlCommand 和 SqlQuery 方法即可.

public int ExecSqlCommand(string sqlCommand, params object[] param)
{
    if (param == null || param.Length == 0)
    {
        return Context.Database.ExecuteSqlCommand(sqlCommand);
    }

    var temp = ProcessSqlCommand(sqlCommand, param);

    return Context.Database.ExecuteSqlCommand(temp.Item1, temp.Item2);
}

public List<T> SqlQuery<T>(string sqlCommand, params object[] param)
{
    if (param == null || param.Length == 0)
    {
        return Context.Database.SqlQuery<T>(sqlCommand).ToList();
    }

    var temp = ProcessSqlCommand(sqlCommand, param);

    return Context.Database.SqlQuery<T>(temp.Item1, temp.Item2).ToList();
}

 

5. 客户端在调用的时候,直接使用类似如下模式

 var data=repository.SqlQuery<OrderInfo>(“select  * from order_info where company like  {0}","abc”);

 

后记:

      1. 事关数据安全无小事, 任何侥幸心理都应该避免;

      2. 当有人在埋怨程序不好写, 或者框架不好用的时候 , 需要换位思考,并极力改进;

      3. 大家在谈论项目框架或系统架构的时候,并不是时时刻刻都需要关注类似高大上的高并发架构图, 有的时候还得压住浮躁的心态关注眼前的蹩脚之处.