ObjectContext.ExecuteStoreCommand(String, Object[]) メソッド
定義
重要
一部の情報は、リリース前に大きく変更される可能性があるプレリリースされた製品に関するものです。 Microsoft は、ここに記載されている情報について、明示または黙示を問わず、一切保証しません。
既存の接続を使用して、データ ソースに対して任意のコマンドを直接実行します。
public:
int ExecuteStoreCommand(System::String ^ commandText, ... cli::array <System::Object ^> ^ parameters);public int ExecuteStoreCommand (string commandText, params object[] parameters);member this.ExecuteStoreCommand : string * obj[] -> intPublic Function ExecuteStoreCommand (commandText As String, ParamArray parameters As Object()) As Integerパラメーター
- commandText
- String
実行するコマンド。データ ソースのネイティブ言語で指定します。
- parameters
- Object[]
コマンドに渡すパラメーターの配列。
戻り値
影響を受けた行の数。
注釈
パラメーター化コマンドは SQL インジェクション攻撃への対策として利用できます。SQL インジェクション攻撃は、SQL ステートメントに、サーバーのセキュリティを侵害するコマンドを "注入" することによって行われます。 パラメーター化されたコマンドは、外部ソースから受け取った値が SQL ステートメントの一部ではなく、値としてのみ渡されることを保証することで、SQL インジェクション攻撃から保護します。 その結果、値に挿入された SQL コマンドはデータ ソースでは実行されません。 これらはパラメーター値としてのみ処理されます。 パラメーター化されたコマンドは、セキュリティ上の利点に加えて、SQL ステートメントまたはストアド プロシージャで渡される値を整理するための便利な方法を提供します。
parameters の値には、DbParameter オブジェクトの配列か、パラメーター値の配列を使用できます。 値のみを指定すると、配列内の値の DbParameter 順序に基づいてオブジェクトの配列が作成されます。
store コマンドは、現在のトランザクションが存在する場合は、現在のトランザクションのコンテキストで実行されます。
詳細については、次を参照してください。
適用対象
.NET