DbContext.Database.ExecuteSqlCommandメソッドにパラメーターを渡す方法は？

Entity Frameworkでsqlコマンドを直接実行する正当なニーズがあるとしましょう。SQLステートメントでパラメーターを使用する方法を理解できません。次の例（実際の例ではありません）は機能しません。

var firstName = "John";
var id = 12;
var sql = @"Update [User] SET FirstName = @FirstName WHERE Id = @Id";
ctx.Database.ExecuteSqlCommand(sql, firstName, id);

ExecuteSqlCommandメソッドでは、ADO.Netのように名前付きパラメーターを渡すことができません。このメソッドのドキュメントには、パラメーター化されたクエリを実行する方法の例が記載されていません。

パラメータを正しく指定するにはどうすればよいですか？

これを試して：

var sql = @"Update [User] SET FirstName = @FirstName WHERE Id = @Id";

ctx.Database.ExecuteSqlCommand(
    sql,
    new SqlParameter("@FirstName", firstname),
    new SqlParameter("@Id", id));

これが機能することがわかります。

var firstName = "John";
var id = 12;
var sql = "Update [User] SET FirstName = {0} WHERE Id = {1}";
ctx.Database.ExecuteSqlCommand(sql, firstName, id);

次のいずれかを行うことができます。

1）生の引数を渡して、{0}構文を使用します。例えば：

DbContext.Database.SqlQuery("StoredProcedureName {0}", paramName);

2）DbParameterサブクラス引数を渡し、@ ParamName構文を使用します。

DbContext.Database.SqlQuery("StoredProcedureName @ParamName", 
                                   new SqlParameter("@ParamName", paramValue);

最初の構文を使用する場合、EFは実際に引数をDbParamaterクラスでラップし、それらに名前を割り当て、{0}を生成されたパラメーター名で置き換えます。

ファクトリーを使用したり、作成するDbParamatersのタイプ（SqlParameter、OracleParamterなど）を知っている必要がないため、最初の構文をお勧めします。

Oracleを使用する場合、他の回答は機能しません。の:代わりに使用する必要があります@。

var sql = "Update [User] SET FirstName = :FirstName WHERE Id = :Id";

context.Database.ExecuteSqlCommand(
   sql,
   new OracleParameter(":FirstName", firstName), 
   new OracleParameter(":Id", id));

これを試してください（編集）：

ctx.Database.ExecuteSqlCommand(sql, new SqlParameter("FirstName", firstName), 
                                    new SqlParameter("Id", id));

以前の考えは間違っていました。

Entity Framework Core 2.0以上の場合、これを行う正しい方法は次のとおりです。

var firstName = "John";
var id = 12;
ctx.Database.ExecuteSqlCommand($"Update [User] SET FirstName = {firstName} WHERE Id = {id}";

Entity Frameworkは2つのパラメーターを生成するため、SQLインジェクションから保護されていることに注意してください。

また、次の点にも注意してください。

var firstName = "John";
var id = 12;
var sql = $"Update [User] SET FirstName = {firstName} WHERE Id = {id}";
ctx.Database.ExecuteSqlCommand(sql);

これはSQLインジェクションから保護されず、パラメーターが生成されないためです。

詳しくはこちらをご覧ください。

Oracleの簡易バージョン。OracleParameterを作成したくない場合

var sql = "Update [User] SET FirstName = :p0 WHERE Id = :p1";
context.Database.ExecuteSqlCommand(sql, firstName, id);

var firstName = "John";
var id = 12;

ctx.Database.ExecuteSqlCommand(@"Update [User] SET FirstName = {0} WHERE Id = {1}"
, new object[]{ firstName, id });

これはとても簡単です!!!

パラメータ参照を知るための画像

asyncメソッド（ "ExecuteSqlCommandAsync"）の場合は、次のように使用できます。

var sql = @"Update [User] SET FirstName = @FirstName WHERE Id = @Id";

await ctx.Database.ExecuteSqlCommandAsync(
    sql,
    parameters: new[]{
        new SqlParameter("@FirstName", firstname),
        new SqlParameter("@Id", id)
    });

基礎となるデータベースのデータ型がvarcharの場合は、以下のアプローチを使用する必要があります。それ以外の場合、クエリはパフォーマンスに大きな影響を与えます。

var firstName = new SqlParameter("@firstName", System.Data.SqlDbType.VarChar, 20)
                            {
                                Value = "whatever"
                            };

var id = new SqlParameter("@id", System.Data.SqlDbType.Int)
                            {
                                Value = 1
                            };
ctx.Database.ExecuteSqlCommand(@"Update [User] SET FirstName = @firstName WHERE Id = @id"
                               , firstName, id);

Sqlプロファイラーをチェックして、違いを確認できます。

public static class DbEx {
    public static IEnumerable<T> SqlQueryPrm<T>(this System.Data.Entity.Database database, string sql, object parameters) {
        using (var tmp_cmd = database.Connection.CreateCommand()) {
            var dict = ToDictionary(parameters);
            int i = 0;
            var arr = new object[dict.Count];
            foreach (var one_kvp in dict) {
                var param = tmp_cmd.CreateParameter();
                param.ParameterName = one_kvp.Key;
                if (one_kvp.Value == null) {
                    param.Value = DBNull.Value;
                } else {
                    param.Value = one_kvp.Value;
                }
                arr[i] = param;
                i++;
            }
            return database.SqlQuery<T>(sql, arr);
        }
    }
    private static IDictionary<string, object> ToDictionary(object data) {
        var attr = System.Reflection.BindingFlags.Public | System.Reflection.BindingFlags.Instance;
        var dict = new Dictionary<string, object>();
        foreach (var property in data.GetType().GetProperties(attr)) {
            if (property.CanRead) {
                dict.Add(property.Name, property.GetValue(data, null));
            }
        }
        return dict;
    }
}

使用法：

var names = db.Database.SqlQueryPrm<string>("select name from position_category where id_key=@id_key", new { id_key = "mgr" }).ToList();

vbに複数のパラメーターを持つストアドプロシージャの複数のパラメーター：

Dim result= db.Database.ExecuteSqlCommand("StoredProcedureName @a,@b,@c,@d,@e", a, b, c, d, e)

ストアドプロシージャは以下のように実行できます

 string cmd = Constants.StoredProcs.usp_AddRoles.ToString() + " @userId, @roleIdList";
                        int result = db.Database
                                       .ExecuteSqlCommand
                                       (
                                          cmd,
                                           new SqlParameter("@userId", userId),
                                           new SqlParameter("@roleIdList", roleId)
                                       );

.NET Core 2.2の場合FormattableString、動的SQLに使用できます。

//Assuming this is your dynamic value and this not coming from user input
var tableName = "LogTable"; 
// let's say target date is coming from user input
var targetDate = DateTime.Now.Date.AddDays(-30);
var param = new SqlParameter("@targetDate", targetDate);  
var sql = string.Format("Delete From {0} Where CreatedDate < @targetDate", tableName);
var froamttedSql = FormattableStringFactory.Create(sql, param);
_db.Database.ExecuteSqlCommand(froamttedSql);