Avantages et Inconvénients de l'utilisation de SqlCommand Préparer en C#?

Quand je lisais les livres pour apprendre le C# (peut-être quelques vieux Visual Studio 2005 livres) que j'ai rencontré des conseils de toujours utiliser SqlCommand.Prepare chaque fois que j'execute SQL appel (si son " un SELECT/UPDATE ou INSERT sur SQL SERVER 2005/2008) et j'ai passer des paramètres à elle. Mais est-ce vraiment?

  1. Faut-il le faire à chaque fois? Ou tout simplement, parfois?

  2. Importe si c'est un paramètre passé cinq ou vingt?

  3. Ce boost devrait-elle fournir le cas échéant? Serait-il être perceptible à tous (j'ai été en utilisant SqlCommand.Prepare ici et a sauté là-bas et jamais eu de problèmes ou de différences notables).

Pour le bien de la question, c'est mon habitude de code que j'utilise, mais c'est plus une question d'ordre général. 

public static decimal pobierzBenchmarkKolejny(string varPortfelID, DateTime data, decimal varBenchmarkPoprzedni, decimal varStopaOdniesienia) {
    const string preparedCommand = @"SELECT [dbo].[ufn_BenchmarkKolejny](@varPortfelID, @data, @varBenchmarkPoprzedni,  @varStopaOdniesienia) AS 'Benchmark'";
    using (var varConnection = Locale.sqlConnectOneTime(Locale.sqlDataConnectionDetailsDZP)) //if (varConnection != null) {
    using (var sqlQuery = new SqlCommand(preparedCommand, varConnection)) {
        sqlQuery.Prepare();
        sqlQuery.Parameters.AddWithValue("@varPortfelID", varPortfelID);
        sqlQuery.Parameters.AddWithValue("@varStopaOdniesienia", varStopaOdniesienia);
        sqlQuery.Parameters.AddWithValue("@data", data);
        sqlQuery.Parameters.AddWithValue("@varBenchmarkPoprzedni", varBenchmarkPoprzedni);
        using (var sqlQueryResult = sqlQuery.ExecuteReader())
            if (sqlQueryResult != null) {
                while (sqlQueryResult.Read()) {

                }
            }
    }
}

Précisions supplémentaires:

Si je bouge sqlQuery.Prepare() comme dans le code ci-dessous exception est levée que la taille doit être explicitement déclarée, qui, fondamentalement, m'amène à penser que le fait d'avoir sqlQuery.Prepare() comme premier fait-il inutile? Quelqu'un peut-il montrer la bonne utilisation de l'aide de mon exemple?

public static decimal pobierzBenchmarkKolejny(string varPortfelID, DateTime data, decimal varBenchmarkPoprzedni, decimal varStopaOdniesienia) {
    const string preparedCommand = @"SELECT [dbo].[ufn_BenchmarkKolejny](@varPortfelID, @data, @varBenchmarkPoprzedni,  @varStopaOdniesienia) AS 'Benchmark'";
    using (var varConnection = Locale.sqlConnectOneTime(Locale.sqlDataConnectionDetailsDZP)) //if (varConnection != null) {
    using (var sqlQuery = new SqlCommand(preparedCommand, varConnection)) {

        sqlQuery.Parameters.AddWithValue("@varPortfelID", varPortfelID);
        sqlQuery.Parameters.AddWithValue("@varStopaOdniesienia", varStopaOdniesienia);
        sqlQuery.Parameters.AddWithValue("@data", data);
        sqlQuery.Parameters.AddWithValue("@varBenchmarkPoprzedni", varBenchmarkPoprzedni);
        sqlQuery.Prepare();
        using (var sqlQueryResult = sqlQuery.ExecuteReader())
            if (sqlQueryResult != null) {
                while (sqlQueryResult.Read()) {

                }
            }
    }
}

Comment dois-je procéder? En ajoutant .taille à côté de paramètres et de faire varPortfel.Longueur si c'est une chaîne de caractères etc?

InformationsquelleAutor MadBoy | 2010-03-15
  1. 12

    De la Documentation MSDN:

    "Avant de vous appeler Préparer, spécifiez l'
    type de données de chaque paramètre dans la
    déclaration afin d'être préparé. Pour chaque
    paramètre qui a une longueur variable
    type de données, vous devez définir la Taille
    propriété à la taille maximale nécessaire.
    Préparer renvoie une erreur si ces
    les conditions ne sont pas remplies.

    Si vous appelez une méthode Execute après
    l'appel de Préparer, de toute valeur du paramètre
    qui est supérieure à la valeur
    spécifié par la Taille de la propriété est
    automatiquement tronqué à l'
    d'origine spécifié la taille de la
    paramètres, et sans les erreurs de troncature
    sont retournés.

    Les paramètres de sortie (que ce soit ou
    pas) il est spécifié par l'utilisateur de données
    type. Si vous spécifiez une longueur variable
    type de données, vous devez également spécifier l'
    Taille maximale."

    En outre, "Si le CommandType
    la propriété est définie à TableDirect,
    Préparer ne fait rien. Si CommandType
    est fixé à StoredProcedure, l'appel à
    Préparer devrait réussir, ..."

    En général, est utilisé pour s'assurer que l'utilisateur final n'est pas à l'aide d'une Injection SQL de la technique d'ajouter ou de supprimer des informations que vous ne voulez pas trop à partir de la base de données.

    J'ai regardé dedans et découvrez cet article http://msdn.microsoft.com/en-us/library/system.data.sqlclient.sqlcommand.prepare.aspx. Votre problème est que vous devez définir vos paramètres avant de vous lancer .Prepare() et puis définissez vos paramètres après l'exécution .Prepare(). Maintenant vous faites tous les deux avant de. Je voudrais essayer quelque chose comme ceci (Notez que je n'ai pas tester donc ma syntaxe peut-être un peu off).

    public static decimal pobierzBenchmarkKolejny(string varPortfelID, DateTime data, decimal varBenchmarkPoprzedni, decimal varStopaOdniesienia) {
    const string preparedCommand = @"SELECT [dbo].[ufn_BenchmarkKolejny](@varPortfelID, @data, @varBenchmarkPoprzedni,  @varStopaOdniesienia) AS 'Benchmark'";
    using (var varConnection = Locale.sqlConnectOneTime(Locale.sqlDataConnectionDetailsDZP)) //if (varConnection != null) {
    using (var sqlQuery = new SqlCommand(preparedCommand, varConnection)) {

        sqlQuery.Parameters.Add("@varPortfelID");
        sqlQuery.Parameters.Add("@varStopaOdniesienia");
        sqlQuery.Parameters.Add("@data");
        sqlQuery.Parameters.Add("@varBenchmarkPoprzedni");

        sqlQuery.Prepare();
        sqlQuery.ExecuteNonQuery();//This might need to be ExecuteReader()

        sqlQuery.Parameters[0].Value = varPortfelID;
        sqlQuery.Parameters[1].Value = varStopaOdniesienia;
        sqlQuery.Parameters[2].Value = data;
        sqlQuery.Parameters[3].Value = varBenchmarkPoprzedni;

        using (var sqlQueryResult = sqlQuery.ExecuteReader())
            if (sqlQueryResult != null) {
                while (sqlQueryResult.Read()) {

                }
            }
    }
}
    • Ce sujet de la performance et d'autres choses? Est-ce pour prévenir l'Injection SQL? J'ai lu la documentation MSDN moi-même avant de poser cette question et de la quote-part n'est pas vraiment utile à mes questions à l'utiliser ou pas et si il a des avantages de performances qui semble être proposé sur certains sites web.
    • Ma compréhension est d'en faire un tout défini, il peut mettre en cache et réutiliser le plan de requête. Je suppose qu'il ne vous donne pas une quantité extrême de la prestation.
    • Est l'utilisation que j'ai dans le code correct? J'ai essayé de déplacer Préparer à l'après tous les Paramètres sont définis et l'erreur est levée. Donc, est-ce que sqlQuery.Préparer doit toujours être utilisé avant de paramètres ou?
    • Vérifier ma mise à jour ci-dessus. Je pense que cela résout votre problème.
    • Bien partiellement. Vous n'avez pas remarqué dans le lien SqlParameter idParam = new SqlParameter("@id", SqlDbType.Int, 0); SqlParameter descParam = new SqlParameter("@desc", SqlDbType.Texte, 100); idParam.Valeur = 20; Qui est ce qu'il est tout au sujet, je suppose? Mais WOW, si c'est une solution pour ajouter 4+ nouvelles lignes à l'utilisation de Sql.Prepare (), je vais probablement être mieux sans.
    • Sûrement, il y a une meilleure façon?
    • La meilleure façon est de ne pas l'utiliser. Le plus grand avantage que cela va vous donner est de la mise en cache de votre Code SQL. Ce qui est important quand vous faites des requêtes complexes qui prennent beaucoup de temps à compiler. Les avantages pour l'arrêt de l'injection SQL ne sont pas énormes, mais ils vont vous aider un peu. Donc, dans ce cas précis, il n'est probablement pas la peine.
    • Bon, comme ce pour la peine, pour toute question que vous sont en cours d'exécution de plus de 10 fois, IL VAUT la peine. La vitesse seul peut être autour d'un facteur de 4 à 5. Toutefois, l'appel à se Préparer lui-même ne prendre un certain temps. Entre ça, et les "lignes supplémentaires" pour définir les types de paramètres sont négligeables. J'ai une question je suis de l'exécution de 10 de milliers de fois, c'est un gain de temps ÉNORME pour moi. L'autre avantage de la protection contre l'injection SQL est énorme aussi bien pour les personne qui ne veulent pas que leurs utilisateurs briser leur sécurité.
    • Aa bientôt vous utilisez SqlParameters avec votre SqlCommand, les instructions SQL sera enveloppé dans sp_executesql les appels de procédure avec paramètres. Il en résulte un plan d'exécution qui peuvent être réutilisés quelles que soient les valeurs que vous transmettez à vos paramètres. Cette façon de PRÉPARER n'ont aucun effet en ce qui concerne la performance à venir de la mise en cache des plans parce qu'ils sont mis en cache et réutilisés de toute façon.

    InformationsquelleAutor Ben Hoffman
  2. 6

    L'autre avantage, c'est que, ce faisant, la requête SQL plan est compilé, la mise en cache et ré-utilisé. Ce n'est pas une grosse affaire si, pour un faible volume d'appels à votre requête, mais si vous avez beaucoup il n'y a vraiment sont quelques-uns des avantages de performance significatifs à cet égard.

    • Pouvez-vous ajouter à l'appui des liens?
    • Le plan est réutilisé de toute façon en raison de la SqlParameters utilisé avec l'objet SqlCommand, parce que .net occupera de l'emballage de l'instruction sql dans une procédure sp_executesql qui va générer une réutilisables plan.
    InformationsquelleAutor James
  3. 4

    De ma propre expérience: le gain de performances est TRÈS importante. Il y a quelques temps, j'ai travaillé sur un projet où nous avons utilisé notre propre mapping objet-relationnel. Nous avons utilisé l'immense base de données comme un magasin permanent de complexe sur le modèle objet, sur demande, des objets de chargement et de faiblesse de l'objet référencé par la vie en temps.

    À l'aide de commandes préparées a été crucial pour le succès de cette application, car il est seul à le système réellement utilisable.

    En d'autres termes: si vous exécuter de nombreuses commandes SQL - que sont exactement les mêmes ou ne diffèrent que dans les valeurs de paramètre, vous verrez énorme gain de performance.

    Je n'ai pas de chiffres exacts, ou des liens, mais je peux témoigner de ma propre expérience.

    • J'ai absolument beliefe ce que vous dites - mais que @OP: Veuillez considérer aussi le contraire. En fonction de la DB ayant préparé les états peuvent donner l'analyseur de requêtes un moment difficile et choisi les mauvais indices. Nous avons vu que, en particulier sur DB2 avec des colonnes avec assez inégale distribution de la valeur. Donc, comme avec tous les conseils: Vous avez à mesure pour votre scénario
    InformationsquelleAutor user3051888
  4. 0

    Selon IDbCommand.Préparer la documentation de la Méthode:

    Le serveur met automatiquement en cache des plans pour la réutilisation en tant que de besoin;
    par conséquent, il n'est pas nécessaire d'appeler cette méthode directement dans votre
    application client.

    J'ai également trouvé ce Les Administrateurs de bases de données de réponse qui vous donne beaucoup de détails sur la prepare méthode et pourquoi je n'ai pas d'obtenir une amélioration significative.

    Sur l'injection SQL, vous serez protégé contre elle parce que vous avez utilisé un paramétrée sqlCommand... pas parce que vous avez appelé la méthode préparer.

    InformationsquelleAutor The_Black_Smurf