ObjectContext.ExecuteStoreCommand(String, Object[]) Méthode

Définition

Espace de noms:

System.Data.Objects

Assembly:

System.Data.Entity.dll

Exécute une commande arbitraire directement sur la source de données à l’aide de la connexion existante.

public:
 int ExecuteStoreCommand(System::String ^ commandText, ... cli::array <System::Object ^> ^ parameters);

public int ExecuteStoreCommand(string commandText, params object[] parameters);

member this.ExecuteStoreCommand : string * obj[] -> int

Public Function ExecuteStoreCommand (commandText As String, ParamArray parameters As Object()) As Integer

Paramètres

commandText

String

Commande à exécuter, dans la langue native de la source de données.

parameters

Object[]

Tableau de paramètres à passer à la commande.

Retours

Int32

Nombre de lignes affectées.

Remarques

L'utilisation des commandes paramétrées aide à se protéger des attaques par injection de code SQL, dans lesquelles un attaquant « injecte » une commande dans une instruction SQL qui compromet la sécurité sur le serveur. Les commandes paramétrables protègent contre une attaque par injection SQL en garantissant que les valeurs reçues d’une source externe sont transmises uniquement en tant que valeurs et non dans l’instruction SQL. Par conséquent, les commandes SQL insérées dans une valeur ne sont pas exécutées à la source de données. Au lieu de cela, elles sont évaluées uniquement en tant que valeur de paramètre. Outre les avantages de sécurité, les commandes paramétrables fournissent une méthode pratique pour organiser les valeurs passées avec une instruction SQL ou une procédure stockée.

La parameters valeur peut être un tableau d’objets DbParameter ou un tableau de valeurs de paramètre. Si seules les valeurs sont fournies, un tableau d’objets DbParameter est créé en fonction de l’ordre des valeurs dans le tableau.

La commande store est exécutée dans le contexte de la transaction actuelle, si une transaction actuelle existe.