私は自分のDLLを持っています(データアクセス層用)。ユーザー入力エラーを回避するためにエスケープ文字の手法を使用していますが、最近、パラメーター化されたクエリを使用してクラスを拡張し、発生する可能性のあるすべてのエラーを防止することにしました。変更は簡単ですか、それとも難しいですか?
パラメータ化されたクエリを使用するようにクエリを変換するにはどうすればよいですか?
アイデアを明確にするためのサンプルコードをいくつか見せてください。
1 に答える
1
これは私がc#.netとSQLサーバーでそれを行う方法です。
string sQuery = @"INSERT INTO [UserJob]
(
[SIJCJOBID],
[SIJCCHDID],
[UserID],
[SageDatabaseID],
[MaxLineValue],
[MaxAuthorisationValue],
[UpdatedDate],
[UpdatedUser]
)
VALUES
(
@SIJCJOBID,
@SIJCCHDID,
@UserID,
@SageDatabaseID,
@MaxLineValue,
@MaxAuthorisationValue,
@UpdatedDate,
@UpdatedUser
)
SELECT SCOPE_IDENTITY() AS 'ID'";
using (SqlCommand oSqlCommand = new SqlCommand(sQuery))
{
oSqlCommand.Parameters.AddWithValue("@SIJCJOBID", this.SIJCJOBID);
oSqlCommand.Parameters.AddWithValue("@SIJCCHDID", this.SIJCCHDID);
oSqlCommand.Parameters.AddWithValue("@UserID", this.UserID);
oSqlCommand.Parameters.AddWithValue("@SageDatabaseID", this.SageDatabaseID);
oSqlCommand.Parameters.AddWithValue("@MaxLineValue", this.MaxLineValue);
oSqlCommand.Parameters.AddWithValue("@MaxAuthorisationValue", this.MaxAuthorisationValue);
oSqlCommand.Parameters.AddWithValue("@UpdatedDate", DateTime.Now);
oSqlCommand.Parameters.AddWithValue("@UpdatedUser", StaticStore.CurrentUser != null ? StaticStore.CurrentUser.UserName : "SYSTEM");
using (DataTable dt = DataTier.ExecuteQuery(oSqlCommand))
{
if (dt.Rows.Count == 1)
{
int.TryParse(dt.Rows[0]["ID"].ToString(), out m_UserJobID);
}
}
}
于 2011-01-19T09:42:54.143 に答える