某天 , 在review项目中代码的时候, 发现有哥们直接通过 Database.ExecuteSqlCommand("select * from order_info where company like '%abc%' ")的方式与数据库查询, 私下问其是否知道这个方法还有一个带有params object[] parameters参数重载, 对方爽快的回答:"知道啊 ,只是每次都要写一大堆的SqlParameter[] 定义, 实在是太过麻烦了,特别是有的时候查询参数太多了...." .细想一下, 确实麻烦得很,感觉又回到了直接写sqlhelper的时代了.不过转念一想, 这个方法很容易改进, 于是便有了这篇随笔,希望能给有需要的朋友一些提示.
1.目标,我们希望调用者能像字符串格式化,类似 string.Formart("select * from order_info where company like {0}","abc") 一样去方便使用,而不再关心是否是否需要参数化,但同时数据库在执行的时候,自动转化为参数化的语句.
2.略加思考:首先我们利用 string.Formart 自动将sqlCommand 格式化为带参数的一个字符串, 类似 "select * from order_info where company like @p0", 同时自动创建查询参数@p0= abc,即可.
3.于是,便有了如下方法片段
private Tuple<string, SqlParameter[]> ProcessSqlCommand(string sqlCommand, params object[] param)
{
var tempParamKeyValDic = param.Select((item, i) => new KeyValuePair<string, object>("@p" + i, item))
.ToDictionary(k => k.Key, v => v.Value); var tempSqlCommand = string.Format(sqlCommand, tempParamKeyValDic.Keys.ToArray());
var tempParams = tempParamKeyValDic.Select(t => new SqlParameter(t.Key, t.Value)).ToArray(); return Tuple.Create(tempSqlCommand, tempParams);
}
4. 同时对外提供两个类似的ExecSqlCommand 和 SqlQuery 方法即可.
public int ExecSqlCommand(string sqlCommand, params object[] param)
{
if (param == null || param.Length == )
{
return Context.Database.ExecuteSqlCommand(sqlCommand);
} var temp = ProcessSqlCommand(sqlCommand, param); return Context.Database.ExecuteSqlCommand(temp.Item1, temp.Item2);
} public List<T> SqlQuery<T>(string sqlCommand, params object[] param)
{
if (param == null || param.Length == )
{
return Context.Database.SqlQuery<T>(sqlCommand).ToList();
} var temp = ProcessSqlCommand(sqlCommand, param); return Context.Database.SqlQuery<T>(temp.Item1, temp.Item2).ToList();
}
5. 客户端在调用的时候,直接使用类似如下模式
var data=repository.SqlQuery<OrderInfo>(“select * from order_info where company like {0}","abc”);
后记:
1. 事关数据安全无小事, 任何侥幸心理都应该避免;
2. 当有人在埋怨程序不好写, 或者框架不好用的时候 , 需要换位思考,并极力改进;
3. 大家在谈论项目框架或系统架构的时候,并不是时时刻刻都需要关注类似高大上的高并发架构图, 有的时候还得压住浮躁的心态关注眼前的蹩脚之处.