C#运行临时存储过程
我有一个SQL语句,我需要在C#中运行,并需要从C#代码中获取参数。我知道存储过程是首选,以避免SQL注入,但我只是想在C#中执行此操作。
我正在将此SQL转换为C#,但即使查询在SQL Server Management Studio中有效,我也遇到了错误。它使用下面的临时存储过程和临时表:
-- 1.) Declare a criteria table which can be any number of rows
BEGIN TRY
DROP TABLE #CriteriaTable
END TRY
BEGIN CATCH
END CATCH
CREATE TABLE #CriteriaTable (ParameterCode VARCHAR(64), Value VARCHAR(64))
-- 2.) Declare a procedure to add criteria table
BEGIN TRY
DROP PROCEDURE #AddCriteriaTable
END TRY
BEGIN CATCH
END CATCH
go
CREATE PROCEDURE #AddCriteriaTable
(@ParameterCode VARCHAR(64), @Value VARCHAR(64))
AS
INSERT #CriteriaTable
VALUES(@ParameterCode, @Value)
GO
-- 3.) Do a computation which accesses the criteria
BEGIN TRY
DROP PROCEDURE #ComputeBasedOnCriteria
END TRY
BEGIN CATCH
END CATCH
go
CREATE PROCEDURE #ComputeBasedOnCriteria
(@product VARCHAR(36) = 'ABC',
@currency VARCHAR(3) = 'USD',
@zScore FLOAT = .845)
AS
-- Code inside this procedure is largely dynamic sql.
-- This is just a quick mock up
SELECT
@Product ProductCode,
@currency Currency,
950 ExpectedRevenue,
*
FROM
#CriteriaTable c
PIVOT
(min (Value) FOR ParameterCode IN
([MyParam1], MyParam2, MyParam3)
) AS pvt
GO
--End of code for Configuration table
-- Samples: Execute this to add criteria to the temporary table that will be used by #ComputeBasedOnCriteria
EXEC #AddCriteriaTable 'MyParam1', 'MyValue1'
EXEC #AddCriteriaTable 'MyParam2', 'MyValue3'
EXEC #AddCriteriaTable 'MyParam3', 'MyValue3'
--Execute the procedure that will return the results for the screen
EXEC #ComputeBasedOnCriteria
现在在C#中尝试此操作时,我尝试运行#AddCriteriaTable过程时遇到错误。当我尝试在第二行运行ExecuteQuery时,它会抛出:
异常:System.Data.SqlClient.SqlException,关键字'PROC'附近的语法不正确。
为什么它在SQL Server中有效,而在C#代码中却无效?还有其他方法可以在C#中执行此操作吗?让我知道是否有c#指南我应该遵循,因为我还在学习这个c# - db work。
编辑: 我知道我可以将其作为普通的存储过程执行并传入DataTable,但是我不能说团队问题,这迫使我将sp用作文本。
2 个答案:
答案 0 :(得分:3)
失败的原因是您将参数传递到CREATE PROC部分:
cmd.CommandText = @"CREATE PROC #AddCriteriaTable (@ParameterCode VARCHAR(64), @Value VARCHAR(64)) AS INSERT #CriteriaTable VALUES (@ParameterCode, @Value)";
cmd.Parameters.AddWithValue("@ParameterCode", request.Criteria.First().Key;
cmd.Parameters.AddWithValue("@Value", request.Criteria.First().Value;
var reader2 = cmd.ExecuteReader();
在这里传递值是没有意义的,因为您只是创建过程,您只需在执行过程时传递它们。如果你运行一个跟踪,你会看到在服务器上执行这样的事情:
EXEC sp_executesql
N'CREATE PROC #AddCriteriaTable (@ParameterCode VARCHAR(64), @Value VARCHAR(64)) AS INSERT #CriteriaTable VALUES (@ParameterCode, @Value)',
N'@ParameterCode VARCHAR(64),@Value VARCHAR(64)',
@ParameterCode = 'MyParam1',
@Value = 'MyValue1'
在SSMS中运行时会出现相同的错误语法错误。您所需要的只是:
EXEC sp_executesql
N'CREATE PROC #AddCriteriaTable (@ParameterCode VARCHAR(64), @Value VARCHAR(64)) AS INSERT #CriteriaTable VALUES (@ParameterCode, @Value)';
所以在c#中你需要:
//First Create the procedure
cmd.CommandText = @"CREATE PROC #AddCriteriaTable (@ParameterCode VARCHAR(64), @Value VARCHAR(64)) AS INSERT #CriteriaTable VALUES (@ParameterCode, @Value)";
cmd.ExecuteNoneQuery();
//Update the command text to execute it, then add parameters
cmd.CommandText = "EXECUTE #AddCriteriaTable @ParameterCode, @Value;";
cmd.Parameters.AddWithValue("@ParameterCode", request.Criteria.First().Key;
cmd.Parameters.AddWithValue("@Value", request.Criteria.First().Value;
var reader2 = cmd.ExecuteReader();
我认为你已经结束了所有事情的复杂化,将数据添加到临时表的临时存储过程似乎过度杀戮。 如果您从代码执行,您似乎需要重用所有内容,那么为什么不只是为您的计算设置一个永久性过程, 然后使用定义的类型来管理执行的实例。
首先创建你的类型:
CREATE TYPE dbo.CriteriaTableType AS TABLE (ParameterCode VARCHAR(64), Value VARCHAR(64));
然后创建你的程序:
CREATE PROC dbo.ComputeBasedOnCriteria
(
@product VARCHAR(36)='ABC',
@currency VARCHAR(3)='USD',
@zScore FLOAT = .845,
@CriteriaTable dbo.CriteriaTableType READONLY
)
AS
--Code inside this proc is largely dynamic sql. This is just a quick mock up
SELECT
@Product ProductCode
,@currency Currency
,950 ExpectedRevenue
,*
FROM @CriteriaTable c
PIVOT (MIN (Value) FOR ParameterCode IN (MyParam1, MyParam2,MyParam3)) AS pvt;
GO
然后最后运行:
DECLARE @Criteria dbo.CriteriaTableType;
INSERT @Criteria
VALUES
('MyParam1', 'MyValue1'),
('MyParam2', 'MyValue2'),
('MyParam3', 'MyValue3');
EXECUTE dbo.ComputeBasedOnCriteria @CriteriaTable = @Criteria;
您甚至可以在c#中填充条件表,并将其从c#传递给该过程。
var table = new DataTable();
table.Columns.Add("ParameterCode", typeof(string)).MaxLength = 64;
table.Columns.Add("Value", typeof(string)).MaxLength = 64;
foreach (var criterion in request.Criteria)
{
var newRow = table.NewRow();
newRow[0] = criterion.Key;
newRow[1] = criterion.Value;
table.Rows.Add(newRow);
}
using (var connection = new SqlConnection("connectionString"))
using (var command = new SqlCommand("dbo.ComputeBasedOnCriteria", connection))
{
var tvp = command.Parameters.Add("@CriteriaTable", SqlDbType.Structured);
tvp.TypeName = "dbo.CriteriaTableType";
tvp.Value = table;
using (var reader = command.ExecuteReader())
{
while (reader.Read())
{
//Do Something with your results
}
}
}
答案 1 :(得分:1)
如果您正在执行SQL以通过C#创建存储过程,那么您也可以通过C#执行SQL并忘记过程。
使用存储过程来避免SQL注入的问题仅适用于服务器上已存在存储过程且您未通过代码创建存储过程的情况。
您可以使用Parameterised查询来避免SQL注入。 参数通过验证数据类型来阻止sql注入。因此,如果在代码中插入一个整数,那么尝试注入的人不能提供带有特殊字符的字符串,这会改变您的预期结果。
但除此之外,由于您在C#中使用CREATE PROC代替CREATE PROCEDURE
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?