Поделиться через


Database.ExecuteSqlCommand Метод

Определение

Перегрузки

ExecuteSqlCommand(String, Object[])

Выполняет указанную команду DDL/DML применительно к базе данных.

Как и в случае с любым API, который принимает SQL, важно параметризовать любые входные данные пользователя для защиты от атак путем внедрения кода SQL. Вы можете включить заполнители параметров в строку ЗАПРОСА SQL, а затем указать значения параметров в качестве дополнительных аргументов. Все значения параметров, которые вы указали, будут автоматически преобразованы в DbParameter. Контексте. Database.ExecuteSqlCommand("UPDATE dbo. Post SET Rating = 5 WHERE Author = @p0", userSuppliedAuthor); Кроме того, можно создать DbParameter и передать его в SqlQuery. Это позволяет использовать именованные параметры в строке SQL-запроса. Контексте. Database.ExecuteSqlCommand("UPDATE dbo. Post SET Rating = 5 WHERE Author = @author", new SqlParameter("@author", userSuppliedAuthor));

ExecuteSqlCommand(TransactionalBehavior, String, Object[])

Выполняет указанную команду DDL/DML применительно к базе данных.

Как и в случае с любым API, который принимает SQL, важно параметризовать любые входные данные пользователя для защиты от атак путем внедрения кода SQL. Вы можете включить заполнители параметров в строку ЗАПРОСА SQL, а затем указать значения параметров в качестве дополнительных аргументов. Все значения параметров, которые вы указали, будут автоматически преобразованы в DbParameter. Контексте. Database.ExecuteSqlCommand("UPDATE dbo. Post SET Rating = 5 WHERE Author = @p0", userSuppliedAuthor); Кроме того, можно создать DbParameter и передать его в SqlQuery. Это позволяет использовать именованные параметры в строке SQL-запроса. Контексте. Database.ExecuteSqlCommand("UPDATE dbo. Post SET Rating = 5 WHERE Author = @author", new SqlParameter("@author", userSuppliedAuthor));

ExecuteSqlCommand(String, Object[])

Выполняет указанную команду DDL/DML применительно к базе данных.

Как и в случае с любым API, который принимает SQL, важно параметризовать любые входные данные пользователя для защиты от атак путем внедрения кода SQL. Вы можете включить заполнители параметров в строку ЗАПРОСА SQL, а затем указать значения параметров в качестве дополнительных аргументов. Все значения параметров, которые вы указали, будут автоматически преобразованы в DbParameter. Контексте. Database.ExecuteSqlCommand("UPDATE dbo. Post SET Rating = 5 WHERE Author = @p0", userSuppliedAuthor); Кроме того, можно создать DbParameter и передать его в SqlQuery. Это позволяет использовать именованные параметры в строке SQL-запроса. Контексте. Database.ExecuteSqlCommand("UPDATE dbo. Post SET Rating = 5 WHERE Author = @author", new SqlParameter("@author", userSuppliedAuthor));

public int ExecuteSqlCommand (string sql, params object[] parameters);
member this.ExecuteSqlCommand : string * obj[] -> int
Public Function ExecuteSqlCommand (sql As String, ParamArray parameters As Object()) As Integer

Параметры

sql
String

Строка команды.

parameters
Object[]

Параметры, подставляемые в строку команды.

Возвращаемое значение

Результат, возвращаемый базой данных после выполнения команды.

Комментарии

Если локальной или внешней транзакции нет, для выполнения команды будет использоваться новая транзакция.

Применяется к

ExecuteSqlCommand(TransactionalBehavior, String, Object[])

Выполняет указанную команду DDL/DML применительно к базе данных.

Как и в случае с любым API, который принимает SQL, важно параметризовать любые входные данные пользователя для защиты от атак путем внедрения кода SQL. Вы можете включить заполнители параметров в строку ЗАПРОСА SQL, а затем указать значения параметров в качестве дополнительных аргументов. Все значения параметров, которые вы указали, будут автоматически преобразованы в DbParameter. Контексте. Database.ExecuteSqlCommand("UPDATE dbo. Post SET Rating = 5 WHERE Author = @p0", userSuppliedAuthor); Кроме того, можно создать DbParameter и передать его в SqlQuery. Это позволяет использовать именованные параметры в строке SQL-запроса. Контексте. Database.ExecuteSqlCommand("UPDATE dbo. Post SET Rating = 5 WHERE Author = @author", new SqlParameter("@author", userSuppliedAuthor));

public int ExecuteSqlCommand (System.Data.Entity.TransactionalBehavior transactionalBehavior, string sql, params object[] parameters);
member this.ExecuteSqlCommand : System.Data.Entity.TransactionalBehavior * string * obj[] -> int

Параметры

transactionalBehavior
TransactionalBehavior

Управляет созданием транзакции для этой команды.

sql
String

Строка команды.

parameters
Object[]

Параметры, подставляемые в строку команды.

Возвращаемое значение

Результат, возвращаемый базой данных после выполнения команды.

Применяется к