- •А.А. Волосевич
- •4. БАзы данных и технология ado.Net 3
- •4. БАзы данных и технология ado.Net
- •4.1. Архитектура ado.Net
- •4.2. Соединение с базой данных
- •4.3. Выполнение команд и запросов к базе данных
- •4.4. Параметризированные запросы
- •4.5. Чтение данных и объект DataReader
- •4.6. Рассоединенный набор данных
- •4.7. Объект класса DataColumn – колонка таблицы
- •4.8. Объекты класса DataRow – строки таблицы
- •4.9. Работа с объектом класса DataTable
- •4.10. Схема данных и типизированные dataset
- •4.11. Навигация, Поиск и фильтрация данных в DataSet
- •4.12. Класс DataView
- •4.13. Заполнение Рассоединенного набора данных
- •4.14. СиНхронизация набора данных и базы
- •4.15. Работа с транзакциями
4.4. Параметризированные запросы
Запросы к базе данных могут содержать параметры. Рассмотрим запрос со следующим текстом:
SELECT name FROM Songs WHERE id = @id
В данном примере параметром является @id, а запрос означает следующее: получить из таблицы Songs все значения колонки name таких записей, у которых колонка id равна параметру @id.
Для работы с параметрами поставщики данных определяют особые классы (например, SqlParameter). Некоторые свойства параметров перечислены ниже (не каждый параметр требует задания всех свойств):
-
ParameterName. Имя параметра. У поставщика данных MS SQL Server имя любого параметра предваряется символом @. Другие поставщики могут не использовать имен, а определять параметры по позиции.
-
DbType. Тип хранящихся в параметре данных. Перечисление DbType содержит элементы, которые можно использовать как значения данного свойства. Кроме этого, каждый поставщик имеет перечисления либо классы, более точно отражающие реальный тип данных СУБД. Например, поставщик MS SQL Server содержит перечисление SqlDbType.
-
Size. Свойство зависит от типа данных параметра и обычно используется для указания его максимальной длины. Например, для строковых типов (VarChar) свойство Size представляет максимальный размер строки. Значение по умолчанию определяется по свойству DbType. В случае числовых типов изменять это значение не требуется.
-
Direction. Данное свойство определяет способ передачи параметра хранимой процедуры. Его возможные значения – Input, Output, InputOutput и ReturnValue – представлены перечислением ParameterDirection. По умолчанию используется значение Input.
-
IsNullable. Это свойство определяет, может ли параметр принимать пустые значения. По умолчанию свойство установлено в false.
-
Value. Значение параметра. Для параметров типа Input и InputOutput это свойство должно быть установлено до выполнения команды, для параметров типа Output, InputOutput и ReturnValue значение свойства устанавливается в результате выполнения команды. Чтобы передать пустой входной параметр, нужно либо не устанавливать значение свойства Value, либо установить его равным DBNull.
-
Precision. Определяет число знаков после запятой, использующихся для представления значений параметра. По умолчанию имеет значение 0.
-
Scale. Определяет общее число десятичных разрядов для представления параметра.
-
SourceColumn и SourceVersion. Данные свойства определяют способ использования параметров с адаптером данных и подробнее будут рассмотрены ниже.
Чтобы создать параметр можно применить один из конструкторов типа, описывающего параметр. Имеется несколько перегруженных версий конструктора, позволяющих задать различные свойства параметра. После создания параметр помещается в коллекцию определенной команды:
var cmd = new SqlCommand
{ CommandText = "SELECT name FROM Songs WHERE id = @id" };
var p = new SqlParameter
{
ParameterName = "@id",
Direction = ParameterDirection.Input,
DbType = DbType.Int32
};
cmd.Parameters.Add(p);
Любой объект команды содержит свойство Parameters, представляющее коллекцию параметров. Для доступа к параметрам в коллекции используется строковый индекс (имя параметра) или целочисленный индекс (позиция параметра). Метод коллекции Add() даёт возможность создать и добавить параметр.
Следующий пример показывает выборку данных из таблицы с использованием параметризированного запроса:
var con = new SqlConnection { ConnectionString = ". . ." };
var cmd = new SqlCommand("SELECT name FROM Songs WHERE id = @id",
con);
cmd.Parameters.Add("@id", DbType.Int32);
while (true)
{
Console.Write("Input id: ");
cmd.Parameters["@id"].Value = int.Parse(Console.ReadLine());
con.Open();
Console.WriteLine((string)cmd.ExecuteScalar());
con.Close();
}
Заметим, что параметризированные запросы зачастую удобнее сформировать, воспользовавшись функциями для работы со строками (и такой метод более быстрый, чем работа с объектами-параметрами). Однако использование параметров вместо простой конкатенации строк позволяет писать более безопасный код, в меньшей степени подверженный атакам типа Sql Injection. Кроме этого, без параметров не обойтись, если речь заходит о вызове параметризированной хранимой процедуры.