Meilleure façon de stocker les requêtes hors programme en C#

Question

J'ai quelques chaînes de connexion et requêtes que je dois stocker en dehors de mon programme C# (impossible de les coder en dur). En ce moment j'utilise le fichier de configuration d'application de Visual Studio. Malheureusement, les requêtes nécessitent des variables (choisies lors de l'exécution par l'utilisateur) de mon programme à exécuter.

Ma solution de contournement actuelle consiste à découper la requête en morceaux dans le fichier de configuration et à les réassembler dans le programme. Je préfère éviter cela, car il est difficile de lire la requête à partir du fichier de configuration. Est-ce que quelqu'un a une solution plus élégante?

Answer 1

Stored procedures sur le serveur qui accepte les paramètres serait ma préférence. Cela vous protège assez bien de sql injection (sauf si vous les construisez incorrectement), et c'est la meilleure pratique communément acceptée.

Sinon, utilisez les requêtes parameterized. Ils peuvent être stockés dans le fichier de configuration. (Mais je serais sacrément sûr d'encrypt the .config fichier si vous continuez à stocker des données sensibles comme les chaînes de connexion et des choses utiles comme des requêtes réalisables dans un fichier de configuration texte brut.)

Answer 2

Une approche courante consiste à utiliser des espaces réservés et à les remplacer au moment de l'exécution.

Answer 3

Si vous devez avoir des chaînes de votre programme et ne peut pas utiliser des procédures stockées, la meilleure façon serait de chaîne de magasin avec déjà paramaters, quelque chose comme ceci:

select * from Pays où la ville = @city »

charge cette chaîne et ajouter un paramètre à votre requête Toujours utilise les paramètres sur la génération de la requête.

C'est une approche native native simple et directe qui me vient à l'esprit dans votre cas.

Espérons que cela aide.