使用SqlCommand和範圍

任何人都可以告訴我，是否有充分的理由使用下面的兩個代碼塊之一而不是另一個？使用SqlCommand和範圍

using (SqlTransaction mySqlTransaction = mySqlConnection.BeginTransaction) 
{ 
    using (SqlCommand mySqlCmd = 
     new SqlCommand("First of many SQL statements here", mySqlConnection, mySqlTransaction) 
    { 
     mySqlCmd.Parameters.Add("@MyFirstParm", SqlDbType.Int).Value = myFirstVal; 
     mySqlCmd.ExecuteNonQuery(); 
    } 

    using (SqlCommand mySqlCmd = 
     new SqlCommand("Second of many SQL statements here", mySqlConnection, mySqlTransaction) 
    { 
     mySqlCmd.Parameters.Add("@MySecondParm", SqlDbType.Int).Value = mySecondVal; 
     mySqlCmd.ExecuteNonQuery(); 
    } 

    . 
    . 
    . 

    sqlTransaction.Commit(); 
}

與

using (SqlTransaction mySqlTransaction = mySqlConnection.BeginTransaction) 
{ 
    using (SqlCommand mySqlCmd = new SqlCommand("", mySqlConnection, mySqlTransaction) 
    { 
     mySqlCmd.Parameters.Add("@MyFirstParm", SqlDbType.Int).Value = myFirstVal; 
     mySqlCmd.Parameters.Add("@MySecondParm", SqlDbType.Int).Value = mySecondVal; 

     mySqlCmd.CommandText = "First of many SQL statements here"; 
     mySqlCmd.ExecuteNonQuery(); 

     mySqlCmd.CommandText = "Second of many SQL statements here"; 
     mySqlCmd.ExecuteNonQuery(); 

     . 
     . 
     . 
    } 

    sqlTransaction.Commit(); 
}

來源

2013-10-17 Dewald Swanepoel

有多少個參數有任何查詢？ –

第二種方法結束時有多少個參數？ – Steve

沒錯。參數的數量可能很重要，因爲如果我錯了（對不起，如果我錯了），您可以通過提供查詢來面對錯誤消息，提供了太多的參數 –

A的優點A：兩條獨立的命令比兩條語句使用相同的命令稍微混亂，並且您可以在不影響命令的情況下更改命令2的SQL命令重載1 B的優點：使用略少的資源和更少的代碼如果這對你很重要）

兩者的優點：可以將單個方法封裝在try catch中，以使兩個都必須成功才能提交事務，否則將回滾。

兩者的缺點：現代時代，在一個方法中硬編碼SQL是非常危險的，如果這些參數來自任何UI對象中的任何文本字段，那麼您的數據庫可能會因SQL注入攻擊而變得混亂。讓一個數據庫方法執行兩個單獨的語句而不僅僅是處理存儲過程中的語句更令人困惑。此外，使用存儲過程並將commandtype更改爲commandtype.storedprocedure將防止通過參數（大多數情況下）進入sql注入攻擊。有很多關於SQL注入的很棒的文章，這裏有一個相關的文章。

http://blogs.msdn.com/b/raulga/archive/2007/01/04/dynamic-sql-sql-injection.aspx

來源

2013-10-17 13:36:33 Jwit