在項(xiàng)目開發(fā)中，一直有一種聲音，要用存儲(chǔ)過程代替SQL語句，下文就將對其中的一些觀點(diǎn)進(jìn)行辨析，供您參考。

1.如果說存儲(chǔ)過程多了,不好找,那你該檢討一下您的命名習(xí)慣是否規(guī)范是否達(dá)意,如果是多人合作的團(tuán)隊(duì),大家更應(yīng)該對于存儲(chǔ)過程的命名有一致的規(guī)則,當(dāng)然,不只存儲(chǔ)過程需要這樣,其他部分也都要需要這樣.好的存儲(chǔ)過程命名最好能包含操作名稱(insert/update/get/list等),要操作的對象名稱(表名)等,這樣,即便你的存儲(chǔ)過程再多,一樣也能快速找到要改的那個(gè),這樣命名,還可以讓你通過SQL 2000的對象查找功能一次性的按表名找到與此表相關(guān)的所有存儲(chǔ)過程的名稱,同理,你用LIST來查,也可以查到所有LIST功能的存儲(chǔ)過程

2,對于第二種觀點(diǎn),我是不大同意的,在過往的例子中,我發(fā)現(xiàn),將SQL語句從代碼中分離出來,帶來的好處遠(yuǎn)遠(yuǎn)大于壞處,而且這樣更符合分層的原則,如果我們將SQL語句嵌入到代碼中,當(dāng)你僅需要多獲取一個(gè)字段的值,或者對SQL語句本身做一些修改時(shí),你就必須要編譯,然后上傳DLL,而如果你是用存儲(chǔ)過程的話,你直接改一下存儲(chǔ)過程就好了,而且,將二者分離,DBA寫好存儲(chǔ)過程,列好說明及使用規(guī)則,交給負(fù)責(zé)寫DAL層的同學(xué),DAL層的同學(xué)閉上眼無需了解SQL語句,也可完成他的工作,因此,從這個(gè)角度來說,很好的分隔了工作,不必要要寫DAL層的同學(xué)也是SQL存儲(chǔ)過程高手了

3,防止注入攻擊,如果不用存儲(chǔ)過程而用嵌入式SQL,你勢必要為了防止注入攻擊而對輸入的用戶數(shù)據(jù)做更多的處理工作,例如處理一些SQL敏感字符等

4.更為重要的是,如果你要朝一個(gè)表中插入的是一個(gè)BINARY內(nèi)容的時(shí)候,難道你會(huì)用SQL語句嗎?

5,嵌入式SQL特別是拼貼SQL語句,一向是比較容易出問題的環(huán)節(jié),而存儲(chǔ)過程在寫的時(shí)候,就經(jīng)過檢查,儲(chǔ)如漏掉符號,INSERT的字段數(shù)目與參數(shù)數(shù)目不一致的小錯(cuò)誤,會(huì)立即被糾正

6,誰都知道存儲(chǔ)過程是預(yù)編譯的

7,如果你是高手,你可以分析并優(yōu)化存儲(chǔ)過程來提高性能(以前記得看過MS的一個(gè)牛人技術(shù)支持講述存儲(chǔ)過程分析和優(yōu)化,非常啟發(fā)人)

最常見的是,在實(shí)際運(yùn)用中,為了減少DATASET數(shù)據(jù)集的大小和提高性能,通常我們只SELECT當(dāng)前需要的字段,但是,隨著發(fā)展,你可以需要其他字段,這時(shí),如果用嵌入SQL,就要修改SQL語句,編譯,再寫上綁定該字段的表達(dá)式,但是,如果用存儲(chǔ)過程,你只要綁定表達(dá)式,然后給存儲(chǔ)過程中加上這個(gè)字段名就可以了.
再如,如果用STRING來拼貼SQL的INSERT語句,那很可能是這樣拼
string strSql="insert into table (id,username,password,address) value ("+Id.ToString()+","+UserName...
這樣拼貼,多加個(gè)字段時(shí),一花眼,就拼貼錯(cuò)了
如果用存儲(chǔ)過程,你頂多用
SqlParameter myPara=new SqlParameter("@field5",Field5);
再在存儲(chǔ)過程里加上這個(gè)輸入?yún)?shù)就可以了,和修改一下SQL語句就行了,SQL還會(huì)在修改過程中幫你檢查語法
后者顯然比前者用那么多+號與雙引號拼貼出錯(cuò)的幾率小多了