ObjectContext.ExecuteStoreCommand(String, Object[]) Metodo

Definizione

Spazio dei nomi:

System.Data.Objects

Assembly:

System.Data.Entity.dll

Esegue un comando arbitrario direttamente sull'origine dati utilizzando la connessione esistente.

public:
 int ExecuteStoreCommand(System::String ^ commandText, ... cli::array <System::Object ^> ^ parameters);

public int ExecuteStoreCommand (string commandText, params object[] parameters);

member this.ExecuteStoreCommand : string * obj[] -> int

Public Function ExecuteStoreCommand (commandText As String, ParamArray parameters As Object()) As Integer

Parametri

commandText

String

Comando da eseguire, nel linguaggio nativo dell'origine dati.

parameters

Object[]

Matrice di parametri da passare al comando.

Restituisce

Int32

Numero di righe interessate.

Commenti

L'uso di comandi con parametri consente di salvaguardarsi da attacchi SQL injection, un cui un utente non autorizzato inserisce in un'istruzione SQL un comando che compromette la sicurezza del server. I comandi con parametri proteggono da un attacco SQL injection garantendo che i valori ricevuti da un'origine esterna vengano passati solo come valori e non come parte dell'istruzione SQL. Di conseguenza, i comandi SQL inseriti in un valore non vengono eseguiti nell'origine dati. Verranno invece valutati solo come un valore del parametro. Oltre ai vantaggi della sicurezza, i comandi con parametri forniscono un metodo pratico per organizzare i valori passati con un'istruzione SQL o a una stored procedure.

Il valore parameters può essere una matrice di oggetti DbParameter o una matrice di valori dei parametri. Se vengono forniti solo valori, viene creata una matrice di DbParameter oggetti in base all'ordine dei valori nella matrice.

Il comando store viene eseguito nel contesto della transazione corrente, se esiste una transazione corrente.

Per altre informazioni, vedere:

Esecuzione diretta dei comandi di archiviazione e

Procedura: eseguire comandi direttamente in un'origine dati