某天 , 在review項目中代碼的時候, 發現有哥們直接通過 Database.ExecuteSqlCommand("select * from order_info where company like '%abc%' ")的方式與數據庫查詢, 私下問其是否知道這個方法還有一個帶有params object[] parameters參數重載, 對方爽快的回答:"知道啊 ,只是每次都要寫一大堆的SqlParameter[] 定義, 實在是太過麻煩了,特別是有的時候查詢參數太多了...." .細想一下, 確實麻煩得很,感覺又回到了直接寫sqlhelper的時代了.不過轉念一想, 這個方法很容易改進, 於是便有了這篇隨筆,希望能給有需要的朋友一些提示.
1.目標,我們希望調用者能像字符串格式化,類似 string.Formart("select * from order_info where company like {0}","abc") 一樣去方便使用,而不再關心是否是否需要參數化,但同時數據庫在執行的時候,自動轉化為參數化的語句.
2.略加思考:首先我們利用 string.Formart 自動將sqlCommand 格式化為帶參數的一個字符串, 類似 "select * from order_info where company like @p0", 同時自動創建查詢參數@p0= abc,即可.
3.於是,便有了如下方法片段
private Tuple<string, SqlParameter[]> ProcessSqlCommand(string sqlCommand, params object[] param) { var tempParamKeyValDic = param.Select((item, i) => new KeyValuePair<string, object>("@p" + i, item)) .ToDictionary(k => k.Key, v => v.Value); var tempSqlCommand = string.Format(sqlCommand, tempParamKeyValDic.Keys.ToArray()); var tempParams = tempParamKeyValDic.Select(t => new SqlParameter(t.Key, t.Value)).ToArray(); return Tuple.Create(tempSqlCommand, tempParams); }
4. 同時對外提供兩個類似的ExecSqlCommand 和 SqlQuery 方法即可.
public int ExecSqlCommand(string sqlCommand, params object[] param) { if (param == null || param.Length == 0) { return Context.Database.ExecuteSqlCommand(sqlCommand); } var temp = ProcessSqlCommand(sqlCommand, param); return Context.Database.ExecuteSqlCommand(temp.Item1, temp.Item2); } public List<T> SqlQuery<T>(string sqlCommand, params object[] param) { if (param == null || param.Length == 0) { return Context.Database.SqlQuery<T>(sqlCommand).ToList(); } var temp = ProcessSqlCommand(sqlCommand, param); return Context.Database.SqlQuery<T>(temp.Item1, temp.Item2).ToList(); }
5. 客戶端在調用的時候,直接使用類似如下模式
var data=repository.SqlQuery<OrderInfo>(“select * from order_info where company like {0}","abc”);
后記:
1. 事關數據安全無小事, 任何僥幸心理都應該避免;
2. 當有人在埋怨程序不好寫, 或者框架不好用的時候 , 需要換位思考,並極力改進;
3. 大家在談論項目框架或系統架構的時候,並不是時時刻刻都需要關注類似高大上的高並發架構圖, 有的時候還得壓住浮躁的心態關注眼前的蹩腳之處.