Looking for .net Keywords? Try Ask4Keywords

.NET Framework Лучшие практики - выполнение заявлений Sql


пример

public void SaveNewEmployee(Employee newEmployee)
{
    // best practice - wrap all database connections in a using block so they are always closed & disposed even in the event of an Exception
    // best practice - retrieve the connection string by name from the app.config or web.config (depending on the application type) (note, this requires an assembly reference to System.configuration)
    using(SqlConnection con = new SqlConnection(System.Configuration.ConfigurationManager.ConnectionStrings["MyConnectionName"].ConnectionString))
    {
        // best practice - use column names in your INSERT statement so you are not dependent on the sql schema column order
        // best practice - always use parameters to avoid sql injection attacks and errors if malformed text is used like including a single quote which is the sql equivalent of escaping or starting a string (varchar/nvarchar)
        // best practice - give your parameters meaningful names just like you do variables in your code
        using(SqlCommand sc = new SqlCommand("INSERT INTO employee (FirstName, LastName, DateOfBirth /*etc*/) VALUES (@firstName, @lastName, @dateOfBirth /*etc*/)", con))
        {
            // best practice - always specify the database data type of the column you are using
            // best practice - check for valid values in your code and/or use a database constraint, if inserting NULL then use System.DbNull.Value
            sc.Parameters.Add(new SqlParameter("@firstName", SqlDbType.VarChar, 200){Value = newEmployee.FirstName ?? (object) System.DBNull.Value});
            sc.Parameters.Add(new SqlParameter("@lastName", SqlDbType.VarChar, 200){Value = newEmployee.LastName ?? (object) System.DBNull.Value});

            // best practice - always use the correct types when specifying your parameters, Value is assigned to a DateTime instance and not a string representation of a Date
            sc.Parameters.Add(new SqlParameter("@dateOfBirth", SqlDbType.Date){ Value = newEmployee.DateOfBirth });

            // best practice - open your connection as late as possible unless you need to verify that the database connection is valid and wont fail and the proceeding code execution takes a long time (not the case here)
            con.Open();
            sc.ExecuteNonQuery();
        }

        // the end of the using block will close and dispose the SqlConnection
        // best practice - end the using block as soon as possible to release the database connection
    }
}

// supporting class used as parameter for example
public class Employee
{
    public string FirstName { get; set; }
    public string LastName { get; set; }
    public DateTime DateOfBirth { get; set; }
}

Лучшая практика работы с ADO.NET

  • Правило большого пальца - это открыть соединение для минимального времени. Закройте соединение явным образом после завершения процедуры. Это вернет объект подключения обратно в пул соединений. Пул соединений по умолчанию max size = 100. Поскольку объединение пулов повышает производительность физического подключения к SQL Server. Пул соединений в SQL Server
  • Оберните все подключения к базе данных в используемом блоке, чтобы они всегда закрывались и удалялись даже в случае исключения. См. Использование Statement (C # Reference) для получения дополнительной информации об использовании операторов
  • Извлеките строки подключения по имени из app.config или web.config (в зависимости от типа приложения)
  • Всегда используйте параметры для входящих значений для
    • Избегайте атак sql injection
    • Избегайте ошибок, если используется неверный текст, например, включая одиночную кавычку, которая является эквивалентом sql для экранирования или запуска строки (varchar / nvarchar)
    • Предоставление поставщику базы данных повторного использования планов запросов (не поддерживаемых всеми поставщиками баз данных), что повышает эффективность
  • При работе с параметрами
    • Тип параметра Sql и несоответствие размера являются общей причиной отказа вставки / обновления / выбора
    • Дайте параметры Sql значимым именам так же, как и переменные в коде.
    • Укажите тип данных базы данных используемого столбца, это гарантирует, что неправильные типы параметров не используются, что может привести к неожиданным результатам
    • Подтвердите свои входящие параметры, прежде чем передавать их в команду (как говорится, « мусор, мусор »). Проверять входящие значения как можно раньше в стеке
    • Используйте правильные типы при назначении значений параметров, например: не назначайте строковое значение DateTime, вместо этого присвойте фактическому экземпляру DateTime значение параметра
    • Укажите размер параметров строкового типа. Это связано с тем, что SQL Server может повторно использовать планы выполнения, если параметры соответствуют типу и размеру. Использовать -1 для MAX
    • Не используйте метод AddWithValue , основная причина заключается в том, что очень легко забыть указать тип параметра или точность / масштаб, когда это необходимо. Для получения дополнительной информации см. Можно ли уже остановить использование AddWithValue?
  • При использовании соединений с базой данных
    • Откройте соединение как можно позже и закройте его как можно скорее. Это общее руководство при работе с любым внешним ресурсом
    • Никогда не обменивайтесь экземплярами подключения к базе данных (пример: наличие одного хост-узла является общим экземпляром типа SqlConnection ). Если ваш код всегда создает новый экземпляр подключения базы данных, тогда необходимо, чтобы код вызова удалил его и «выбросил», когда это будет сделано. Причиной этого является
      • У большинства поставщиков баз данных есть своего рода объединение пулов, поэтому создание новых управляемых соединений дешево
      • Он устраняет любые будущие ошибки, если код начинает работать с несколькими потоками