在C#中建立复杂的、灵活的SQL查询/命令

投稿

繁体

RSS

首页

网站运营

欢迎在本站发布信息，在线投递稿件请点这里。编辑QQ:4908220，欢迎联系交流。
业界动态	创业故事	推广研究	策划盈利	电子商务	企业平台
站长工具
SEO查询	Whois查询	Pr查询	域名查询	IP查询	网页编辑器

建站服务

如有建站意向，请尽快联系我们，以便安排时间... QQ:4908220
作品展示	服务范围	服务流程	服务报价	联系方式	付款方式

站长论坛

交流区
站长酒吧	SEO&推广	网赚交流	建站系统

服务&信息
招聘求职	项目外包	广告发布	网络资源

技术区
网页设计师	界面设计师	WEB程序员	计算机应用

文章正文	» 您的当前位置：首页 >> 学院 >> 程序开发 >> ASP.Net

在C#中建立复杂的、灵活的SQL查询/命令

来源：互联网 | 时间：2007-05-29 | 浏览：相关评论 | 报告错误 | 发布文章

【字号：大 | 中 | 小】【背景色

】

SelectQueryBuilder类允许在你的代码中建立复杂的SQL语句和命令。它也能帮助于避免SQL注入式攻击。

　　介绍

　　承认，并且我们都这样作过，也认为下面的方式是最好的和唯一的方式。就是我们建立大量的字符串包含所有的Where子句，然后提交到数据库去执行它。来断的加语句到我们的SQL字符串，极有可能会带来Bugs和SQL注入式攻击的危险。并且也使得我们的代码更难看也不易于管理。

　　这种情况必须停止，但如何停止?有人说使用存储过程。但它并没有真正的解决这个问题。你还得动态建立你的SQL语句，只不过有问题移到数据库层面上了，依然有SQL注入的危险。除了这个“解决方案”外，可能还有非常多的选择供你考虑，但它们都会带来一个基本的挑战:让SQL语句工作的更好、更安全。

　　当我从我的在线DAL(数据访问层)生成工具http://www.code-engine.com/建立C#模板时，我想提供一个易于使用的方法来定制查询数据。我不再想使用“字符串查询”(我以前开发的模板)来查询数据。我厌烦这种凌乱的方式来得到数据。我想用一种清晰的、直觉的、灵活的、简单的方式从表中选择数据，联接一些别的语句，使用大量的Where子句，用一些列来分组数据，返回前X个记录。

　　我开始开发所想的有这种严密功能的SelectQueryBuilder类。它暴露了许多属性和方法，你能很容易地在Select语句中使用它们。一旦调用BuildQuery()和BuildCommand()方法，它能提供一种更好的旧的“字符串查询“或可以使用命令参数的DbCommand对象来查询数据。

　　使用代码

　　旧的方式的代码

　　下面的代码阐明了以前建立SELECT语句的方法，它使用许多类变量来说明应该使用那种连接操作(WHERE，或者OR),同时也给你的数据库带来了可能的SQL注入式攻击。

string statement = "SELECT TOP " maxRecords " * FROM Customers ";
string whereConcatenator = "WHERE ";
if (companyNameTextBox.Text.Length > 0)
{
　statement = whereConcatenator;
　statement = "CompanyName like '" companyNameTextBox.Text "%' ";
　whereConcatenator = "AND ";
}

if (cityTextBox.Text.Length > 0)
{
　statement = whereConcatenator;
　statement = "City like '" cityTextBox.Text "%' ";
　whereConcatenator = "AND ";
}
if (countryComboBox.SelectedItem != null)
{
　statement = whereConcatenator;
　statement = "Country = '" countryComboBox.SelectedItem "' ";
　whereConcatenator = "AND ";
}

　　我相信上面的代码对你来说是非常熟悉的，你可能在过去的十多年一直是这样使用的，或者你曾经编码过数据库驱动的搜索功能。让我告诉你这种思想:这种查询你的数据库的方法不能再使用了，它是难看的也是不安全的。

　　SelectQueryBuilder方式的代码

　　同样的查询能够使用SelectQueryBuilder类建立。

SelectQueryBuilder query = new SelectQueryBuilder();
query.SelectFromTable("Customers");
query.SelectAllColumns();
query.TopRecords = maxRecords;
if (companyNameTextBox.Text.Length > 0)
　query.AddWhere("CompanyName", Comparison.Like,companyNameTextBox.Text "%");
　if (cityTextBox.Text.Length > 0)
　　query.AddWhere("City", Comparison.Like,
　　cityTextBox.Text "%");
　if (countryComboBox.SelectedItem != null)
　　query.AddWhere("Country", Comparison.Equals,
　　countryComboBox.SelectedItem);
　　string statement = query.BuildQuery();
　　// or, have a DbCommand object built
　　// for even more safety against SQL Injection attacks:
　　query.SetDbProviderFactory(
　　DbProviderFactories.GetFactory(
　　"System.Data.SqlClient"));
　　DbCommand command = query.BuildCommand();