每周200分，长期专栏，体验并推广ASP向ASP.NET过渡。之五SqlHelper

这期没仔细准备，但是仍然有重要基本话题可谈，我相信好多初学.net的人没用过SqlHelper,那么建议使用。

SqlHelper 类实现详细信息
SqlHelper 类用于通过一组静态方法来封装数据访问功能。该类不能被继承或实例化，因此将其声明为包含专用构造函数的不可继承类。

在 SqlHelper 类中实现的每种方法都提供了一组一致的重载。这提供了一种很好的使用 SqlHelper 类来执行命令的模式，同时为开发人员选择访问数据的方式提供了必要的灵活性。每种方法的重载都支持不同的方法参数，因此开发人员可以确定传递连接、事务和参数信息的方式。在 SqlHelper 类中实现的方法包括：

ExecuteNonQuery。此方法用于执行不返回任何行或值的命令。这些命令通常用于执行数据库更新，但也可用于返回存储过程的输出参数。
ExecuteReader。此方法用于返回 SqlDataReader 对象，该对象包含由某一命令返回的结果集。
ExecuteDataset。此方法返回 DataSet 对象，该对象包含由某一命令返回的结果集。
ExecuteScalar。此方法返回一个值。该值始终是该命令返回的第一行的第一列。
ExecuteXmlReader。此方法返回 FOR XML 查询的 XML 片段。
除了这些公共方法外，SqlHelper 类还包含一些专用函数，用于管理参数和准备要执行的命令。不管客户端调用什么样的方法实现，所有命令都通过 SqlCommand 对象来执行。在 SqlCommand 对象能够被执行之前，所有参数都必须添加到 Parameters 集合中，并且必须正确设置 Connection、CommandType、CommandText 和 Transaction 属性。SqlHelper 类中的专用函数主要用于提供一种一致的方式，以便向 SQL Server 数据库发出命令，而不考虑客户端应用程序调用的重载方法实现。SqlHelper 类中的专用实用程序函数包括：

AttachParameters：该函数用于将所有必要的 SqlParameter 对象连接到正在运行的 SqlCommand。
AssignParameterValues：该函数用于为 SqlParameter 对象赋值。
PrepareCommand：该函数用于对命令的属性（如连接、事务环境等）进行初始化。
ExecuteReader：此专用 ExecuteReader 实现用于通过适当的 CommandBehavior 打开 SqlDataReader 对象，以便最有效地管理与阅读器关联的连接的有效期。

SqlHelper体验谈：

以下载自CEOCIO(MVP/CSDN_WEB开发版主)的Blog:

微软提供的Data Access Application Block中的SQLHelper类中封装了最常用的数据操作，各个使用者调用他而写的代码也有很大区别。

对于一个返回DataSet的方法我原来是这样写的：

public DataSet GetDepartmentMemberList(int departmentID)
{
try
{
string sql = "OA_Department_GetDepartment_Members";
string conn = ConfigurationSettings.AppSettings["strConnection"];
SqlParameter[] p =
{
SqlHelper.MakeInParam("@departmentID",SqlDbType.Int,4,departmentID)
};
DataSet ds = SqlHelper.ExecuteDataset(conn,CommandType.StoredProcedure,sql,p);
return ds;
}
catch(System.Data.SqlClient.SqlException er)
{
throw new Exception(er.Message);
}
}

现在我是这样来写的：

//连接字符串
private string _connectionString = ConfigurationSettings.AppSettings["strConnection"];
public string ConnectionString
{
get {return this._connectionString;}
set {this._connectionString = value;}
}

public DataSet GetNewsToIndexPage(int NewsTypeID)
{
return GetDataSet("yzb_GetNewsToIndexPage",GetNewsToIndexPage_Parameters(NewsTypeID));
}

//设置存储过程参数
private SqlParameter[] GetNewsToIndexPage_Parameters(int NewsTypeID)
{

SqlParameter[] p =
{
SqlHelper.MakeInParam("@NewsTypeID",SqlDbType.Int,4,NewsTypeID)
};
return p;
}

//这里才真正调用SqlHelper
private DataSet GetDataSet(string sql, params SqlParameter[] p)
{
return SqlHelper.ExecuteDataset(ConnectionString,CommandType.StoredProcedure,sql,p);
}
代码更加灵活，更加安全了：P

做为一个懒人，大笨狼我经常这样写：

System.Data.DataTable dt=SqlHelper.ExecuteDataset(SqlHelper.CONN_STRING_NON_DTC,CommandType.Text,sql).Tables[0];

直接返回DataTable， 返回表集合基本不用，只返回一个table用于绑定。

string conn = ConfigurationSettings.AppSettings["strConnection"];
我写在SqlHelper.CONN_STRING_NON_DTC里面

MakeInParam代码烦琐，如果查询输入条件不可能有组合SQL,
我直接exec pronamr paraargs

如果查询输入条件存在安全问题，或者带返回参数
再用SqlParameter[] queryParam=new SqlParameter[] {
new SqlParameter("@UserID",SqlDbType.Int)
};
queryParam[0].Value=this.UserID;


组合sql语句用到@和string.Format技巧.例如：
sql=@"UPDATE Test_User_Statistic
SET
Test_User_Statistic.[IsQualified]={0},
Test_User_Statistic.[Reason]='{1}'
WHERE UserID={2}" ;
sql= string.Format(sql,IsQualified,Reason,userID);
SqlHelper.ExecuteNonQuery(SqlHelper.CONN_STRING_NON_DTC,CommandType.Text,sql);

其中sql语句可以借助SQL的查询分析器生成。
这么干要保证安全，如果有输入漏洞，建议还是用SqlParameter[]缓存参数，因为它会把攻击性的代码，比如带单引号分号的，当作普通字符处理。