Compartir a través de


ObjectContext.ExecuteStoreCommand(String, Object[]) Método

Definición

Ejecuta un comando arbitrario directamente en el origen de datos usando la conexión existente.

public:
 int ExecuteStoreCommand(System::String ^ commandText, ... cli::array <System::Object ^> ^ parameters);
public int ExecuteStoreCommand (string commandText, params object[] parameters);
member this.ExecuteStoreCommand : string * obj[] -> int
Public Function ExecuteStoreCommand (commandText As String, ParamArray parameters As Object()) As Integer

Parámetros

commandText
String

Comando que se va a ejecutar, en el lenguaje nativo del origen de datos.

parameters
Object[]

Matriz de parámetros que se van a pasar al comando.

Devoluciones

El número de filas afectadas.

Comentarios

La utilización de comandos con parámetros ayuda en la protección contra ataques por inyección de código SQL, en los que un atacante "inyecta" un comando en una instrucción SQL que pone en peligro la seguridad del servidor. Los comandos con parámetros protegen contra un ataque por inyección de código SQL garantizando que los valores recibidos de un origen externo se pasan solo como valores y no como parte de la instrucción SQL. Como resultado, los comandos SQL insertados en un valor no se ejecutan en el origen de datos. En cambio, se evalúan únicamente como un valor de parámetro. Además de las ventajas de seguridad, los comandos con parámetros proporcionan un método práctico para organizar los valores pasados con una instrucción SQL o a un procedimiento almacenado.

El valor parameters puede ser una matriz de objetos DbParameter o una matriz de valores de parámetro. Si solo se proporcionan valores, se crea una matriz de DbParameter objetos en función del orden de los valores de la matriz.

El comando store se ejecuta en el contexto de la transacción actual, si existe una transacción actual.

Para más información, consulte:

Ejecución directa de comandos del almacén y

Cómo: Ejecutar directamente comandos contra el origen de datos

Se aplica a