SqlHelper详解
SqlHelper详解
SqlHelper 类实现详细信息
SqlHelper 类用于通过一组静态方法来封装数据访问功能。该类不能被继承或实例化,因此将其声明为包
含专用构造函数的不可继承类。
在 SqlHelper 类中实现的每种方法都提供了一组一致的重载。这提供了一种很好的使用 SqlHelper 类来
执行命令的模式,同时为开发人员选择访问数据的方式提供了必要的灵活性。每种方法的重载都支持不同
的方法参数,因此开发人员可以确定传递连接、事务和参数信息的方式。在 SqlHelper 类中实现的方法
包括:
ExecuteNonQuery。此方法用于执行不返回任何行或值的命令。这些命令通常用于执行数据库更新,但也
可用于返回存储过程的输出参数。
ExecuteReader。此方法用于返回 SqlDataReader 对象,该对象包含由某一命令返回的结果集。
ExecuteDataset。此方法返回 DataSet 对象,该对象包含由某一命令返回的结果集。
ExecuteScalar。此方法返回一个值。该值始终是该命令返回的第一行的第一列。
ExecuteXmlReader。此方法返回 FOR XML 查询的 XML 片段。
除了这些公共方法外,SqlHelper 类还包含一些专用函数,用于管理参数和准备要执行的命令。不管客户
端调用什么样的方法实现,所有命令都通过 SqlCommand 对象来执行。在 SqlCommand 对象能够被执行之
前,所有参数都必须添加到 Parameters 集合中,并且必须正确设置 Connection、CommandType、
CommandText 和 Transaction 属性。SqlHelper 类中的专用函数主要用于提供一种一致的方式,以便向
SQL Server 数据库发出命令,而不考虑客户端应用程序调用的重载方法实现。SqlHelper 类中的专用实
用程序函数包括:
AttachParameters:该函数用于将所有必要的 SqlParameter 对象连接到正在运行的 SqlCommand。
AssignParameterValues:该函数用于为 SqlParameter 对象赋值。
PrepareCommand:该函数用于对命令的属性(如连接、事务环境等)进行初始化。
ExecuteReader:此专用 ExecuteReader 实现用于通过适当的 CommandBehavior 打开 SqlDataReader 对
象,以便最有效地管理与阅读器关联的连接的有效期。
SqlHelper体验谈:
以下载自CEOCIO(MVP/CSDN_WEB开发版主)的Blog(51aspx.com):
微软提供的Data Access Application Block中的SQLHelper类中封装了最常用的数据操作,各个使用者调
用他而写的代码也有很大区别。
对于一个返回DataSet的方法我原来是这样写的:
[运行代码] [复制到剪贴板] [ ± ]CODE:
public DataSet GetDepartmentMemberList(int departmentID)
{
try
{
string sql = "OA_Department_GetDepartment_Members";
string conn = ConfigurationSettings.AppSettings["strConnection"];
SqlParameter[] p =
{
SqlHelper.MakeInParam("@departmentID",SqlDbType.Int,4,departmentID)
};
DataSet ds = SqlHelper.ExecuteDataset(conn,CommandType.StoredProcedure,sql,p);
return ds;
}
catch(System.Data.SqlClient.SqlException er)
{
throw new Exception(er.Message);
}
}
现在我是这样来写的:
//连接字符串
[运行代码] [复制到剪贴板] [ ± ]CODE:
private string _connectionString = ConfigurationSettings.AppSettings["strConnection"];
public string ConnectionString
{
get {return this._connectionString;}
set {this._connectionString = value;}
}
public DataSet GetNewsToIndexPage(int NewsTypeID)
{
return GetDataSet("yzb_GetNewsToIndexPage",GetNewsToIndexPage_Parameters(NewsTypeID));
}
//设置存储过程参数
[运行代码] [复制到剪贴板] [ ± ]CODE:
private SqlParameter[] GetNewsToIndexPage_Parameters(int NewsTypeID)
{
SqlParameter[] p =
{
SqlHelper.MakeInParam("@NewsTypeID",SqlDbType.Int,4,NewsTypeID)
};
return p;
}
//这里才真正调用SqlHelper
[运行代码] [复制到剪贴板] [ ± ]CODE:
private DataSet GetDataSet(string sql, params SqlParameter[] p)
{
return SqlHelper.ExecuteDataset(ConnectionString,CommandType.StoredProcedure,sql,p);
}
代码更加灵活,更加安全了:P
做为一个懒人,大笨狼51aspx我经常这样写:
[运行代码] [复制到剪贴板] [ ± ]CODE:
System.Data.DataTable dt=SqlHelper.ExecuteDataset
(SqlHelper.CONN_STRING_NON_DTC,CommandType.Text,sql).Tables[0];
直接返回DataTable, 返回表集合基本不用,只返回一个table用于绑定。
string conn = ConfigurationSettings.AppSettings["strConnection"];
我写在SqlHelper.CONN_STRING_NON_DTC里面
MakeInParam代码烦琐,如果查询输入条件不可能有组合SQL,
我直接exec pronamr paraargs
如果查询输入条件存在安全问题,或者带返回参数
再用
[运行代码] [复制到剪贴板] [ ± ]CODE:
SqlParameter[] queryParam=new SqlParameter[] {
new SqlParameter("@UserID",SqlDbType.Int)
};
queryParam[0].Value=this.UserID;
组合sql语句用到@和string.Format技巧.例如:
[运行代码] [复制到剪贴板] [ ± ]CODE:
sql=@"UPDATE Test_User_Statistic
SET
Test_User_Statistic.[IsQualified]={0},
Test_User_Statistic.[Reason]='{1}'
WHERE UserID={2}" ;
sql= string.Format(sql,IsQualified,Reason,userID);
SqlHelper.ExecuteNonQuery(SqlHelper.CONN_STRING_NON_DTC,CommandType.Text,sql);
其中sql语句可以借助SQL的查询分析器生成。
这么干要保证安全,如果有输入漏洞,建议还是用SqlParameter[]缓存参数,因为它会把攻击性的代码,
比如带单引号分号的,当作普通字符处理
SqlHelper 类实现详细信息
SqlHelper 类用于通过一组静态方法来封装数据访问功能。该类不能被继承或实例化,因此将其声明为包
含专用构造函数的不可继承类。
在 SqlHelper 类中实现的每种方法都提供了一组一致的重载。这提供了一种很好的使用 SqlHelper 类来
执行命令的模式,同时为开发人员选择访问数据的方式提供了必要的灵活性。每种方法的重载都支持不同
的方法参数,因此开发人员可以确定传递连接、事务和参数信息的方式。在 SqlHelper 类中实现的方法
包括:
ExecuteNonQuery。此方法用于执行不返回任何行或值的命令。这些命令通常用于执行数据库更新,但也
可用于返回存储过程的输出参数。
ExecuteReader。此方法用于返回 SqlDataReader 对象,该对象包含由某一命令返回的结果集。
ExecuteDataset。此方法返回 DataSet 对象,该对象包含由某一命令返回的结果集。
ExecuteScalar。此方法返回一个值。该值始终是该命令返回的第一行的第一列。
ExecuteXmlReader。此方法返回 FOR XML 查询的 XML 片段。
除了这些公共方法外,SqlHelper 类还包含一些专用函数,用于管理参数和准备要执行的命令。不管客户
端调用什么样的方法实现,所有命令都通过 SqlCommand 对象来执行。在 SqlCommand 对象能够被执行之
前,所有参数都必须添加到 Parameters 集合中,并且必须正确设置 Connection、CommandType、
CommandText 和 Transaction 属性。SqlHelper 类中的专用函数主要用于提供一种一致的方式,以便向
SQL Server 数据库发出命令,而不考虑客户端应用程序调用的重载方法实现。SqlHelper 类中的专用实
用程序函数包括:
AttachParameters:该函数用于将所有必要的 SqlParameter 对象连接到正在运行的 SqlCommand。
AssignParameterValues:该函数用于为 SqlParameter 对象赋值。
PrepareCommand:该函数用于对命令的属性(如连接、事务环境等)进行初始化。
ExecuteReader:此专用 ExecuteReader 实现用于通过适当的 CommandBehavior 打开 SqlDataReader 对
象,以便最有效地管理与阅读器关联的连接的有效期。
SqlHelper体验谈:
以下载自CEOCIO(MVP/CSDN_WEB开发版主)的Blog(51aspx.com):
微软提供的Data Access Application Block中的SQLHelper类中封装了最常用的数据操作,各个使用者调
用他而写的代码也有很大区别。
对于一个返回DataSet的方法我原来是这样写的:
[运行代码] [复制到剪贴板] [ ± ]CODE:
public DataSet GetDepartmentMemberList(int departmentID)
{
try
{
string sql = "OA_Department_GetDepartment_Members";
string conn = ConfigurationSettings.AppSettings["strConnection"];
SqlParameter[] p =
{
SqlHelper.MakeInParam("@departmentID",SqlDbType.Int,4,departmentID)
};
DataSet ds = SqlHelper.ExecuteDataset(conn,CommandType.StoredProcedure,sql,p);
return ds;
}
catch(System.Data.SqlClient.SqlException er)
{
throw new Exception(er.Message);
}
}
现在我是这样来写的:
//连接字符串
[运行代码] [复制到剪贴板] [ ± ]CODE:
private string _connectionString = ConfigurationSettings.AppSettings["strConnection"];
public string ConnectionString
{
get {return this._connectionString;}
set {this._connectionString = value;}
}
public DataSet GetNewsToIndexPage(int NewsTypeID)
{
return GetDataSet("yzb_GetNewsToIndexPage",GetNewsToIndexPage_Parameters(NewsTypeID));
}
//设置存储过程参数
[运行代码] [复制到剪贴板] [ ± ]CODE:
private SqlParameter[] GetNewsToIndexPage_Parameters(int NewsTypeID)
{
SqlParameter[] p =
{
SqlHelper.MakeInParam("@NewsTypeID",SqlDbType.Int,4,NewsTypeID)
};
return p;
}
//这里才真正调用SqlHelper
[运行代码] [复制到剪贴板] [ ± ]CODE:
private DataSet GetDataSet(string sql, params SqlParameter[] p)
{
return SqlHelper.ExecuteDataset(ConnectionString,CommandType.StoredProcedure,sql,p);
}
代码更加灵活,更加安全了:P
做为一个懒人,大笨狼51aspx我经常这样写:
[运行代码] [复制到剪贴板] [ ± ]CODE:
System.Data.DataTable dt=SqlHelper.ExecuteDataset
(SqlHelper.CONN_STRING_NON_DTC,CommandType.Text,sql).Tables[0];
直接返回DataTable, 返回表集合基本不用,只返回一个table用于绑定。
string conn = ConfigurationSettings.AppSettings["strConnection"];
我写在SqlHelper.CONN_STRING_NON_DTC里面
MakeInParam代码烦琐,如果查询输入条件不可能有组合SQL,
我直接exec pronamr paraargs
如果查询输入条件存在安全问题,或者带返回参数
再用
[运行代码] [复制到剪贴板] [ ± ]CODE:
SqlParameter[] queryParam=new SqlParameter[] {
new SqlParameter("@UserID",SqlDbType.Int)
};
queryParam[0].Value=this.UserID;
组合sql语句用到@和string.Format技巧.例如:
[运行代码] [复制到剪贴板] [ ± ]CODE:
sql=@"UPDATE Test_User_Statistic
SET
Test_User_Statistic.[IsQualified]={0},
Test_User_Statistic.[Reason]='{1}'
WHERE UserID={2}" ;
sql= string.Format(sql,IsQualified,Reason,userID);
SqlHelper.ExecuteNonQuery(SqlHelper.CONN_STRING_NON_DTC,CommandType.Text,sql);
其中sql语句可以借助SQL的查询分析器生成。
这么干要保证安全,如果有输入漏洞,建议还是用SqlParameter[]缓存参数,因为它会把攻击性的代码,
比如带单引号分号的,当作普通字符处理
