.NET 3.5,C#
我有一个带有"搜索"功能的网络应用程序.可搜索的一些字段是表中的第一类列,但其中一些实际上是XML数据类型中的嵌套字段.
以前,我构建了一个系统,用于为我的搜索动态构建SQL.我有一个很好的类层次结构,它构建了SQL表达式和条件语句.唯一的问题是SQL注入攻击不安全.
我正在阅读Rob Conery的优秀文章,该文章指出,如果永远不会枚举IQueryable结果,那么多个查询可以合并到服务器的单个TSQL查询中.这让我觉得我的动态搜索结构太复杂了 - 我只需要组合多个LINQ表达式.
例如(人为):
Author:
ID (int),
LastName (varchar(32)),
FirstName (varchar(32))
context.Author.Where(xx => xx.LastName == "Smith").Where(xx => xx.FirstName == "John")
结果在以下查询中:
SELECT [t0].[ID], [t0].[LastName], [t0].[FirstName] FROM [dbo].[Author] AS [t0] WHERE ([t0].[LastName] = Smith) AND ([t0].[FirstName] = John)
我意识到这可能是一个简单的动态查询生成的完美解决方案,可以安全地从SQL注入 - 我只是循环我的IQueryable结果并执行其他条件表达式来获得我的最终单执行表达式.
但是,我找不到对XML数据评估的任何支持.在TSQL中,为了从XML节点获取值,我们会做类似的事情
XMLField.value('(*:Root/*:CreatedAt)[1]', 'datetime') = getdate()
但我找不到LINQ to SQL等同于创建此评估.有人存在吗?我知道我可以评估所有非XML条件的DB端,然后进行我的XML评估代码方面,但我的数据足够大,A)这是很多网络流量拖累性能和B)我会退出 - 如果我无法评估XML第一个DB端以排除某些结果集,则会出现内存异常.
想法?建议?
奖金问题 - 如果XML评估实际上是可能的DB方面,那么FLWOR支持呢?
现在这是一个有趣的问题.
目前,您无法指示SQL Server直接从Linq执行XML功能.但是,您可以让Linq使用用户定义的函数...因此,您可以设置一个udf来处理xml,获取正确的数据等,然后在Linq expresion中使用它.这将在服务器上执行,并应该做你想要的.但是有一个重要的限制:您要查找的XML路径(第一个参数xmlColumn.value或类似的参数)必须构建到函数中,因为它必须是字符串文字,它不能从输入参数构建(例如).因此,您可以在编写UDF时使用UDF获取您知道的字段,但不能将其作为从XML列获取数据的通用方法.
查看Scott Gutherie关于Linq to SQL的优秀博客系列的支持用户定义函数(UDF)部分,了解有关实现的更多信息.
希望这可以帮助.
京公网安备 11010802040832号 | 京ICP备19059560号-6 