ObjectContext.ExecuteStoreCommand(String, Object[]) メソッド
定義
重要
一部の情報は、リリース前に大きく変更される可能性があるプレリリースされた製品に関するものです。 Microsoft は、ここに記載されている情報について、明示または黙示を問わず、一切保証しません。
既存の接続を使用して、データ ソースに対して任意のコマンドを直接実行します。
public:
int ExecuteStoreCommand(System::String ^ commandText, ... cli::array <System::Object ^> ^ parameters);public int ExecuteStoreCommand(string commandText, params object[] parameters);member this.ExecuteStoreCommand : string * obj[] -> intPublic Function ExecuteStoreCommand (commandText As String, ParamArray parameters As Object()) As Integerパラメーター
- commandText
- String
データ ソースのネイティブ言語で実行するコマンド。
- parameters
- Object[]
コマンドに渡すパラメーターの配列。
返品
影響を受ける行の数。
注釈
パラメーター化コマンドは SQL インジェクション攻撃への対策として利用できます。SQL インジェクション攻撃は、SQL ステートメントに、サーバーのセキュリティを侵害するコマンドを "注入" することによって行われます。 パラメーター化されたコマンドは、外部ソースから受け取った値が SQL ステートメントの一部ではなく値としてのみ渡されることを保証することで、SQL インジェクション攻撃から保護します。 その結果、値に挿入された SQL コマンドはデータ ソースでは実行されません。 代わりに、パラメーター値としてのみ評価されます。 パラメーター化されたコマンドは、セキュリティ上の利点に加えて、SQL ステートメントまたはストアド プロシージャで渡される値を整理するための便利な方法を提供します。
parameters値には、DbParameterオブジェクトの配列またはパラメーター値の配列を指定できます。 値のみを指定すると、配列内の値の順序に基づいて DbParameter オブジェクトの配列が作成されます。
現在のトランザクションが存在する場合、store コマンドは現在のトランザクションのコンテキストで実行されます。
