让我们假设我有一个有效的需要直接执行实体框架中的sql命令。我很难弄清楚如何在我的sql语句中使用参数。下面的例子(不是我的真实例子)不起作用。
var firstName = "John";
var id = 12;
var sql = @"Update [User] SET FirstName = @FirstName WHERE Id = @Id";
ctx.Database.ExecuteSqlCommand(sql, firstName, id);
ExecuteSqlCommand方法不允许像ADO那样传入命名参数。Net和此方法的文档没有给出如何执行参数化查询的任何示例。
如何正确地指定参数?
当前回答
对于实体框架核心2.0或以上,正确的方法是:
var firstName = "John";
var id = 12;
ctx.Database.ExecuteSqlCommand($"Update [User] SET FirstName = {firstName} WHERE Id = {id}");
注意,实体框架会为你生成这两个参数,这样你就不会受到Sql注入的影响。
还要注意,它不是:
var firstName = "John";
var id = 12;
var sql = $"Update [User] SET FirstName = {firstName} WHERE Id = {id}";
ctx.Database.ExecuteSqlCommand(sql);
因为这并不能保护你不受Sql注入的伤害,并且不会产生任何参数。
更多信息请看这个。
其他回答
你可以:
1)传递原始参数并使用{0}语法。例句:
DbContext.Database.SqlQuery("StoredProcedureName {0}", paramName);
2)传递DbParameter子类参数并使用@ParamName语法。
DbContext.Database.SqlQuery("StoredProcedureName @ParamName",
new SqlParameter("@ParamName", paramValue);
如果使用第一种语法,EF实际上会用dbparameter类包装参数,为它们分配名称,并用生成的参数名称替换{0}。
首选第一种语法,因为您不需要使用工厂或知道要创建什么类型的dbparameters (SqlParameter, oracleparameter,等等)。
在vb中有多个参数的存储过程中的多个参数:
Dim result= db.Database.ExecuteSqlCommand("StoredProcedureName @a,@b,@c,@d,@e", a, b, c, d, e)
Oracle的简化版本。如果您不想创建OracleParameter
var sql = "Update [User] SET FirstName = :p0 WHERE Id = :p1";
context.Database.ExecuteSqlCommand(sql, firstName, id);
其他答案在使用Oracle时不工作。你需要使用:而不是@。
var sql = "Update [User] SET FirstName = :FirstName WHERE Id = :Id";
context.Database.ExecuteSqlCommand(
sql,
new OracleParameter(":FirstName", firstName),
new OracleParameter(":Id", id));
试试这个:
var sql = @"Update [User] SET FirstName = @FirstName WHERE Id = @Id";
ctx.Database.ExecuteSqlCommand(
sql,
new SqlParameter("@FirstName", firstname),
new SqlParameter("@Id", id));
