MVC EF 执行SQL语句(转载)

MVC EF 执行SQL语句

 

 

最近悟出来一个道理,在这儿分享给大家:学历代表你的过去,能力代表你的现在,学习代表你的将来。

十年河东十年河西,莫欺少年穷

学无止境,精益求精

闲着没事,看了一篇关于LINQ和SQL对比的文章,网友们也是积极发言,有人说LINQ简单,维护了程序的可读性,易用性。有人说:LINQ的执行本质其实就是SQL,再好的LINQ也需要转化为SQL后才能和数据库交互,LINQ效率低。

在此,表达下观点:本人支持后者,也就是SQL。

那么,在EF中,我们怎样执行SQL呢?

在此,先贴出几张图,如下:

1、

 

2、

 

3、

4、

根据上图,我们得知,图一,图二两个方法执行返回Int的方法,诸如:Insert操作,Update操作,delete操作。图三,图四返回DbRawSqlQuery的方法,诸如:Select操作。

何为DbRawSqlQuery类型?如下:

由此可见DbRawSqlQuery类型继承自泛型类型。因此,图三图四用于执行Select操作的SQL语句。

那么,我们该怎么使用呢?

图一示例

db.Database.ExecuteSqlCommand("delete语句 或 Update语句 或 Insert语句 ");
db.Database.ExecuteSqlCommand("delete语句 或 Update语句 或 Insert语句 ",params object[] parameters);
复制代码
        /// <summary>
        /// 学生Id
        /// </summary>
        /// <param name="i"></param>
        public StudentScore()
        {
            using (StudentContext db = new StudentContext())
            {
                int userid = 8;
                string name = "Jack";
                SqlParameter[] paras = new SqlParameter[] {
                     new SqlParameter("@userId",userid),
                     new SqlParameter("@searchName",name)
                    };
                db.Database.ExecuteSqlCommand("delete from S where userId=@userId or UserName=@searchName", paras);
            }

        }
复制代码

图二实际上是执行存储过程:

复制代码
        public StudentScore()
        {
            using (StudentContext db = new StudentContext())
            {
                db.Database.ExecuteSqlCommand(TransactionalBehavior.DoNotEnsureTransaction,"exec ProcName ");
            }
        }
复制代码

图三、图四执行查询操作,如下所示:

复制代码
    public class StudentScore
    {
        public IEnumerable<Student> StudentModel { get; set; }//
        public IEnumerable<Course> CourseModel { get; set; }
        public IEnumerable<Score> ScoreModel { get; set; }
        //
        public List<StudentScoreVM> StudentScoreList = new List<StudentScoreVM>();

        public StudentScore()
        {
        }
        /// <summary>
        /// 学生Id
        /// </summary>
        /// <param name="i"></param>
        public StudentScore(int Id)
        {
            using (StudentContext db = new StudentContext())
            {
                //返回StudentScoreVM对象集合 通过这种方式可实现ViewModel特性
                StudentScoreList = db.Database.SqlQuery<StudentScoreVM>("select A.StudentScore,B.Name courseName,C.Name stuName,C.Sex,C.StudentAddress,C.StudentNum from dbo.Score A left join dbo.Course B on A.CourseID=B.Id left join dbo.Student C on A.StudentID=C.Id where 1=1 and C.Id=" + Id + "").ToList();
                //返回查询结果的课程名集合
                var stringList = db.Database.SqlQuery<string>("select B.Name courseName from dbo.Score A left join dbo.Course B on A.CourseID=B.Id left join dbo.Student C on A.StudentID=C.Id where 1=1 and C.Id=" + Id + "").ToList();
                //返回查询结果的年龄集合
                var intList= db.Database.SqlQuery<string>("select A.Age from dbo.Score A left join dbo.Course B on A.CourseID=B.Id left join dbo.Student C on A.StudentID=C.Id where 1=1 and C.Id=" + Id + "").ToList();
            }
        }
    }
复制代码

总结如下:

通过 SQL 查询语句获取实体对象集

DbSet 类中的 SqlQuery 方法允许你执行一个返回实体对象集的原生 SQL 查询. 默认情况下, 返回的对象集会被上下文跟踪; 这可以通过对方法返回的 DbSqlQuery 对象调用 AsNoTracking 方法取消.返回的结果集一般为 DbSet 所对应的类型, 否则即便是其派生类也无法返回. 如果所查询的表包含了其他实体类型的数据, 那么所执行的 SQL 语句应该被正确书写, 保证只返回指定类型实体的数据. 下面的例子使用 SqlQuery 方法执行了一个 SQL 查询, 返回一个 Department 类型的实例集.

让数据库执行原生的非查询 SQL 命令

ExecuteSqlCommand 方法有时会被用在 Code First 创建的数据库的初始化函数中, 用来对数据库进行一些额外的配置 (例如, 设置索引). 需要注意的是, 上下文对象并不知道执行了 ExecuteSqlCommand 方法后数据库中的数据有什么改变, 除非你从数据库中载入或重新载入实体集.

 

调用存储过程

Code First 并不支持对存储过程的映射. 但是, 你可以通过 ExecuteSqlCommand 或 SqlQuery 方法直接调用存储过程. 例如: context.Database.ExecuteSqlCommand ("EXECUTE [dbo].[DoSomething]").

译注: 本文提到的三个方法 (DbSet.SqlQuery, Database.SqlQuery, Database.ExecuteSqlCommand) 都支持参数化查询, 用法和 string.Format 类似, 但是在查询执行时会对传入的参数进行类型转换. 如: context.Departments.SqlQuery("select * from Department where DepartmentID = {0}", "6"); 该语句执行时, 会将字符串 "6" 转化为整数然后再代入查询语句中执行, 可以有效防止 SQL 注入.

防止 SQL 注入攻击

应用程序经常要从外部获取输入 (来自用户和其他外部代理) , 然后根据这些输入执行相关操作. 从用户或外部代理直接或间接获取的任何信息都可能利用目标程序语言的语法来执行违法操作. 当目标语言是结构化查询语言 (SQL) 时, 例如 Transact-SQL, 这个操作被称为 SQL 注入攻击. 恶意的用户可以直接在查询中注入命令执行操作, 删除数据库中的一个表, 拒绝提供服务或修改正在执行的操作的性质. 故你应该使用参数化的查询, 而不是直接将从外部获取的字符串插入到查询字符串中.

 

转载来源:https://www.cnblogs.com/chenwolong/p/SqlQuery.html

posted @ 2018-04-10 09:51 hao_1234_1234 阅读(...) 评论(...) 编辑 收藏