我們可以在mvvm中應用存儲過程嗎？用理由解釋

Question

在這裏，我對存儲過程感到困惑。這裏，我們將所有數據庫相關操作應用到代碼中：

string query = "insert into accounts(name, opening_balance, category, address, contact_person, phone_number) values(" 
           + "'" + account.Name + "'," 
           + account.OpeningBalance + "," 
           + account.Category.Id + "," 
           + "'" + account.Address + "'," 
           + "'" + account.ContactPerson + "'," 
           + "'" + account.PhoneNumber + "')"; 
      account.Id = SQLiteHelper.ExecuteInsert(query); 

我們可以將它應用於存儲過程嗎？如果是這樣：怎麼樣？存儲過程優於它的優點是什麼？

Answer 1

MVVM與您的SQL問題無關。

基本上，您不應該將值串入SQL表達式中，因爲它允許最終用戶注入SQL代碼。即。 真的不好主意。

存儲過程使您可以更好地控制參數並避免注入攻擊。它還允許您進行微妙的更改，例如如果數據庫稍微改變，不改變調用C＃代碼。

不幸的是，SQLite似乎不支持存儲過程，所以你可能想改變你的方法。看看這個鏈接：http://www.sqlite.org/whentouse.html

如果你必須堅持使用SQLite，而不是說SQL CE，那麼你需要向你的代碼添加驗證檢查以確保沒有插入SQL語句。

Answer 2

1. 您應該檢查sql中插入的值以避免 sql-injection。
2. 數據訪問代碼不應該在視圖模型中。它應該在模型中。