C #에서 MS SQL Server의 데이터를 쿼리하는 가장 좋은 방법은 무엇입니까?

C #의 MS SQL Server에서 데이터를 쿼리하는 가장 좋은 방법은 무엇입니까?

코드에 SQL 쿼리를 사용하는 것은 좋지 않습니다.

저장 프로 시저를 만들고 C #에서 매개 변수를 사용하여 호출하는 가장 좋은 방법입니까?

using (var conn = new SqlConnection(connStr))
using (var command = new SqlCommand("StoredProc", conn) { CommandType = CommandType.StoredProcedure }) {
   conn.Open();
   command.ExecuteNonQuery();
   conn.Close();
}

저장 프로 시저를 사용하는 방법 중 하나이며 수년 동안 널리 사용되었습니다.

C # (또는 .NET 언어)에서 SQL Server 데이터베이스와 상호 작용하는보다 현대적인 방법은 Entity Framework를 사용하는 것입니다. Entity Framework의 장점은 더 높은 수준의 추상화를 제공한다는 것입니다.

Microsoft에서 인용하려면 ( https://msdn.microsoft.com/en-us/data/jj590134 ) :

개발자는 ADO.NET Entity Framework를 사용하여 관계형 저장소 스키마를 직접 프로그래밍하는 대신 개념적 응용 프로그램 모델을 프로그래밍하여 데이터 액세스 응용 프로그램을 만들 수 있습니다. 데이터 지향 응용 프로그램에 필요한 코드 및 유지 관리 비용을 줄이는 것이 목표입니다. Entity Framework 응용 프로그램은 다음과 같은 이점을 제공합니다.

• 응용 프로그램은 상속, 복잡한 멤버 및 관계가있는 유형을 포함하여보다 응용 프로그램 중심의 개념적 모델 측면에서 작동 할 수 있습니다.
• 응용 프로그램은 특정 데이터 엔진 또는 스토리지 스키마에 대한 하드 코딩 된 종속성이 없습니다.
• 개념적 모델과 저장소 별 스키마 간의 매핑은 응용 프로그램 코드를 변경하지 않고도 변경할 수 있습니다.
• 개발자는 다양한 데이터베이스 관리 시스템에서 구현 될 수있는 다양한 저장소 스키마에 매핑 될 수있는 일관된 응용 프로그램 개체 모델을 사용할 수 있습니다.
• 여러 개념적 모델을 단일 스토리지 스키마에 매핑 할 수 있습니다.
• LINQ (언어 통합 쿼리) 지원은 개념적 모델에 대한 쿼리에 대한 컴파일 타임 구문 유효성 검사를 제공합니다.

ORM과 저장 프로 시저 (Stored Procedures)의 사용은 특히 보안 측면과 논리가 존재하는 위치에서 트레이드 오프를 수반합니다.

SQL Server를 사용한 개발에 대한 "전통적인"접근 방식은 응용 프로그램 논리가 저장 프로 시저와 테이블에 직접 업데이트되지 않고 저장 프로 시저를 실행할 수있는 보안 권한 만있는 프로그램에만 상주하는 것입니다. 여기서 개념은 저장 프로 시저가 응용 프로그램의 비즈니스 논리 계층이라는 것입니다. 이론은 건전하지만 C #이나 VB와 같은 프로그래밍 언어로 비즈니스 로직을 구현하는 것으로 대체되면서 여러 가지 이유로 유리하지 않은 경향이 있습니다. 좋은 응용 프로그램은 우려 분리 등을 포함하여 계층 적 접근 방식으로 여전히 구현되지만 MVC와 같은 패턴을 따르는 경향이 있습니다.

데이터베이스가 아닌 ORM에서 로직을 구현할 때의 단점은 데이터베이스 (DA 또는 DBA)를 담당하는 사람들이 데이터 무결성 규칙을 쉽게 디버깅하고 테스트 할 수 있다는 것입니다. 당신의 당좌 예금에서 저축 예금 계좌로 돈을 이체하는 전형적인 예를 들어 보자. 이것은 원자 단위의 작업 단위로, 즉 거래에 끼워진 것이 중요합니다. 이러한 종류의 전송이 저장 프로 시저를 통해서만 수행 될 수있는 경우, DA와 감사자가 저장 프로 시저를 QA하는 것이 비교적 쉽습니다.

반면에 Entity Framework와 같은 ORM을 통해이 작업을 수행하고 프로덕션 환경에서 드물게는 검사에서 돈을 받지만 저축에 들어 가지 않는 경우는 더욱 복잡 할 수 있습니다. 특히 여러 프로그램이 잠재적으로 관련되어있는 경우 더욱 그렇습니다. 이것은 아마도 특정 순서 등에서 발생해야하는 독특한 하드웨어 문제와 관련하여 가장 중요한 경우 일 것입니다. 어떻게 이것을 테스트합니까?

실제로 기본 주장은 논란의 여지가 있습니다. 코드에 SQL을 사용하거나 데이터베이스에 코드를 저장하는 것 (저장 프로 시저로 향하는 곳) 간에는 상충 관계가 있습니다.

단 하나의 "최고"가 없다는 결론은 어떤 방식 으로든 타협하고 있기 때문에 일반화 할 수있는 것이 아닙니다 (이익을 얻지 만 제약을 초래합니다).

응용 프로그램과 데이터베이스 사이에 일대일 대응 관계가 있다면 실제로 중요하지 않습니다. 반면에 많은 수의 응용 프로그램이 공유하는 큰 코어 데이터베이스가 있으면 해당 응용 프로그램간에 데이터베이스 내에서 일관성을 유지하는 것이 훨씬 중요해집니다.

더 중요한 것은 Entity Framework 또는 NHibernate와 같은 ORM을 사용하거나 더 직접적인 무언가를 수행하는지 여부에 관계없이 적절한 데이터 액세스 계층을 고려할 때 응용 프로그램의 아키텍처 및 계층화에 대해 걱정하는 것입니다. 또는 저장 프로 시저를 사용하십시오.

저는 소규모 팀 (1 ~ 3 명)으로 비교적 소규모 프로젝트를 진행하는 경향이 있습니다. 스토어드 프로 시저를 사용하는 것은 애플리케이션 (및 스킬 셋)의 특성상 새로운 배포를 고려할 때 그 가치보다 더 큰 문제입니다. 코드는 일반적으로 스키마를 업데이트하는 것보다 훨씬 쉬우 며 (스키마를 비교적 간단하게 업데이트하는 코드를 가지고 있음에도 불구하고) 일반적인 데이터 액세스 코드를 사용하여 비즈니스 규칙을 시행 할 수 있습니다. 이것은 "마일리지가 다를 수 있습니다"라는 고전적인 예입니다.

입력을 매개 변수화 한 한 모든 접근 방식이 유효합니다. 코드 인수에 대한 쿼리가없는 대부분은 많은 라이브러리가 명령문을 함께 문자열 추가하도록 강요했던 곳입니다 .SQL 주입 공격이 시작된 곳입니다.

모범 사례는 실제로 과장된 것입니다. 좋은 방법이 많이 있으며, 실제로 선택하는 방법은 앱이 무엇인지, 무엇을해야하는지에 따라 달라집니다. 즉, 실제로 잘못 할 수있는 것은 두 가지뿐입니다.

• @Bill이 지적했듯이 항상 쿼리를 매개 변수화해야합니다. 문자열 작성은 SQL 주입을위한 쉬운 벡터 일뿐 아니라 버그를 추적하기 어려운 모든 방식입니다. 훨씬 똑똑한 사람들은 SQL을 tupelize하고 탈출하는 방법을 알아 냈으므로 스스로 알아낼 필요가 없습니다.

• 연결을 닫습니다. 가장 좋은 방법은 using 문을 모두 감싸는 것이지만, 보트를 띄우면 시도 / catch / 마침내 시원합니다. 그러나 항상 싼 차처럼 연결을 사용하십시오. 단단하고 빠르게 운전하고 빨리 제거하십시오.

내가 맹렬히 주장하는 다른 관행은 가능한 한 적은 수의 장소에 데이터 액세스 코드를 집중시켜야한다는 것입니다. 이 경고를 적용하기 위해 프런트 엔드 웹 앱에서 System.Data.SqlClient에 대한 직접 참조를 보유 할 수 없습니다.