Willkommen auf myCSharp.de! Anmelden | kostenlos registrieren
 | Suche | FAQ

Hauptmenü
myCSharp.de
» Startseite
» Forum
» Suche
» Regeln
» Wie poste ich richtig?

Mitglieder
» Liste / Suche
» Wer ist online?

Ressourcen
» FAQ
» Artikel
» C#-Snippets
» Jobbörse
» Microsoft Docs

Team
» Kontakt
» Cookies
» Spenden
» Datenschutz
» Impressum

  • »
  • Community
  • |
  • Diskussionsforum
vor\nach teile von Parametrisierten Aufruf von SP
bigpoint
myCSharp.de - Member



Dabei seit:
Beiträge: 121
Herkunft: Bayern

Themenstarter:

vor\nach teile von Parametrisierten Aufruf von SP

beantworten | zitieren | melden

verwendetes Datenbanksystem: SQL Server 2000

Welche vorteile (und ob überhaupt) hat Parametrisierten Aufruf von Prozeduren oder T-SQL Abfragen gegenüber "string zusammenbauen" ???
private Nachricht | Beiträge des Benutzers
Noodles
myCSharp.de - Experte



Dabei seit:
Beiträge: 4.644
Herkunft: Leipzig

beantworten | zitieren | melden

SQL Injection
private Nachricht | Beiträge des Benutzers
bigpoint
myCSharp.de - Member



Dabei seit:
Beiträge: 121
Herkunft: Bayern

Themenstarter:

beantworten | zitieren | melden

sonst zB: performenc usw.
private Nachricht | Beiträge des Benutzers
WSX
myCSharp.de - Member



Dabei seit:
Beiträge: 32

beantworten | zitieren | melden

sieht viel übersichtlicher aus,
du kannst mit den dbtypes ein bissal gegen die dummheit mancher user unternehmen,
und wie gesagt injections.
"Arbeit ist die altmodische Form der Vermögensbildung in Arbeitnehmerhand."

Wolfram Weidner (*1925), dt. Journalist
private Nachricht | Beiträge des Benutzers
FZelle
myCSharp.de - Experte



Dabei seit:
Beiträge: 9.996

beantworten | zitieren | melden

Leider habe ich das "nur" mit dem 2005 getestet.

Der Sql-Server erstellt bei jeder Abfrage einen Ausfüghrungsplan.
Gecached wird es anhand des Sql-Strings.

Wenn du also die Abfragen durch strings erstellst, ändert sich dies ja ständig,
und kein Ausführungsplan wird wiederbenutzt.

Erstellst Du parametrisierte Queries, ändert sich der string nicht, und die abfrage
ist genauso schnell wie eine SP.
private Nachricht | Beiträge des Benutzers
juetho
myCSharp.de - Member



Dabei seit:
Beiträge: 3.331
Herkunft: Berlin

beantworten | zitieren | melden

Weiterer Grund: Bei DateTime und Dezimalzahlen muss man immer die Formatierung des Strings beachten: passt denn value.ToString() mit dem Format der DB überein? Bei Parametern übernimmt der DbProvider diese Aufgabe; ständiges überflüssiges und fehleranfälliges Konvertieren wird vermieden. Jürgen
private Nachricht | Beiträge des Benutzers