MSDNがAddWithValueメソッドを非推奨にしている理由

Question

MSDNがAddWithValueメソッドを非推奨にしている理由

nqyuta 80

C#で作成したプログラムでSQL Serverのテーブルにアクセスし、データの更新や登録を行おうとしています。

SQLインジェクション対策ができ、Nプレフィクスの対応もできるプログラムを作成するため、SqlCommandオブジェクトのParametersプロパティに属するメソッドであるAddWithValueメソッドを使用しようと考えています。

しかし、AddWithVaueメソッドがMSDNでは非推奨とされています。

AddWithValueメソッドを用いると、どのような問題が生じるのでしょうか。

simo-k 4,640 評価のポイント

2025-02-07T09:49:47.9733333+00:00

<モデレーターコメント>

Microsoftコミュニティから紹介されてMicrosoft Q&Aに投稿されたものです。
MSDNがAddWithValueメソッドを非推奨にしている理由

Microsoft Q&A(英語) MSDN が AddWithValue メソッドを非推奨にする理由

Microsoft Q&A(ja-jp)
MSDNがAddWithValueメソッドを非推奨にしている理由
Deleted

このコメントは当社の行動規範に違反したため削除されました。アクションを実行する前にこのコメントを手動で報告したか、自動検出機能により特定しました。詳細については、当社の行動規範を参照してください。

承認済みの回答

4 件の追加の回答

お客様の回答

simo-k 4,640 評価のポイント

2025-02-07T09:49:47.9733333+00:00

<モデレーターコメント>

Microsoftコミュニティから紹介されてMicrosoft Q&Aに投稿されたものです。
MSDNがAddWithValueメソッドを非推奨にしている理由

Microsoft Q&A(英語) MSDN が AddWithValue メソッドを非推奨にする理由

Microsoft Q&A(ja-jp)
MSDNがAddWithValueメソッドを非推奨にしている理由
Deleted

このコメントは当社の行動規範に違反したため削除されました。アクションを実行する前にこのコメントを手動で報告したか、自動検出機能により特定しました。詳細については、当社の行動規範を参照してください。

Answer 1

@那由多, Microsoft Q&A フォーラムへようこそ。最新の公式ドキュメントによると、AddwithValue は現在非推奨ではありません。ただし、String と Object を使用する SqlParameterCollection.Add メソッドに置き換えられています。以下に示す理由はAddwithValueによるものです:

AddWithValue は、String と Objectを受け取る SqlParameterCollection.Add メソッドを置き換えます。文字列を受け取り、オブジェクトを受け取る Add のオーバーロードは、String を受け取る SqlParameterCollection.Add オーバーロードと SqlDbType 列挙値とのあいまいさが考えられるため非推奨となりました。

上記の説明がお役に立てば幸いです。

回答が正しい解決策である場合は、「回答を受け入れる」をクリックして、賛成票を投じてください。この回答について追加の質問がある場合は、「コメント」をクリックしてください。注: このスレッドに関連する電子メール通知を受信したい場合は、ドキュメントの手順に従って電子メール通知を有効にしてください。

Answer 2

gekka 11,456 MVP

SqlParameterCollectionのAddWidthValue(string,object)は内部的には

SqlParameterCollection.Add(new SqlParameter(string,object))

を呼び出しています。

このとき、 SqlParameterの引数が２個で第２引数がobject型のコンストラクタでは、渡した値が数値なのか列挙型のSqlDbTypeなのかが曖昧になります。
コンストラクタの注釈に説明があります

//整数0と渡したつもり
new SqlParameter("name", 0);

//列挙型は整数に相互変換可能なので誤認する
new SqlParameter("name", SqlDBType.BigInt);

このような曖昧さがあるために非推奨になっています。

# System.Data.SqlClientのほうのSqlParameterCollectionのAdd(string,object)でも同じ問題がある。

nqyuta 80 評価のポイント

2025-02-12T01:14:37.4466667+00:00

ご返信遅くなり申し訳ありません。

ご回答ありがとうございます。

つまり、AddWidthValue(string,object)のobjectに数値を入れた場合、不具合が起きる可能性があるということですね。

こちらはどのように対策するのがよいのでしょうか。
gekka 11,456 評価のポイント MVP

2025-02-12T03:34:00.77+00:00
私の書き方が変だったので誤解されてしまいましたが、AddWithValueの第二引数に数値を入れてもSqlDBTypeを入れてもnew SqlParameter(string,object)が呼ばれるので、new SqlParameter(string,SqlDbType)の方が呼ばれることがなくなります。
ですがどのような関数でもobject型の引数には曖昧さがあるので、できれば使わない方がいいです。

明確に型指定したSqlParameterを作って、それをSqlParameterCollectionに入れたほうが安全です

'一例 var cmd = new SqlCommand(); cmd.Parameters.Add(new SqlParameter("name", SqlDbType.BigInt)).Value = 123;
nqyuta 80 評価のポイント

2025-02-12T04:03:10.6+00:00

ご返信ありがとうございます。

明確に型指定した形でプログラムを考えてみようと思います。

ありがとうございました。

Answer 3

AddWithVaueメソッドがMSDNでは非推奨とされています。

そう書いてあった Microsoft ドキュメントの URL を教えてください。

AddWithValue メソッドを説明する Microsoft ドキュメント（URL 下記）には、

"AddWithValue は、String と Objectを受け取る SqlParameterCollection.Add メソッドを置き換えます。文字列を受け取り、オブジェクトを受け取る Add のオーバーロードは、String を受け取る SqlParameterCollection.Add オーバーロードと SqlDbType 列挙値とのあいまいさが考えられるため非推奨となりました。この場合、文字列を使用して整数を渡すことは、パラメーター値または対応する SqlDbType 値のいずれかと解釈できます。パラメーターの名前と値を指定してパラメーターを追加する場合は常に、AddWithValue を使用します。 "

・・・と書いてあって、非推奨になっているのは SqlParameterCollection.Add(String, Object) メソッドであって、代わりに AddWithValue メソッドを使えということです。

SqlParameterCollection.Add(String, Object) メソッドと思い違いしていませんか？

SqlParameterCollection.AddWithValue(String, Object) メソッド - System.Data.SqlClient (.NET Framework 4.8.1)

SqlParameterCollection.AddWithValue(String, Object) メソッド - System.Data.SqlClient (.NET 9.0)

SqlParameterCollection.AddWithValue(String, Object) メソッド - Microsoft.Data.SqlClient

Answer 4

Deleted

この回答は当社の行動規範に違反したため削除されました。アクションを実行する前にこの回答を手動で報告したか、自動検出機能により特定しました。詳細については、当社の行動規範を参照してください。

コメントはオフになっています。詳細情報

Answer 5

SurferOnWww 3,906

質問者さんが AddWithValue メソッドを使いたいというそもそもの目的は、

SQLインジェクション対策ができ、Nプレフィクスの対応もできるプログラムを作成するため

ということだそうですが、それは誤解です (AddWithValue メソッドを使えばその目的が果たせるということはない)。

SQL インジェクション対策は SQL 文をパラメータ化するのが基本です。クエリをパラメータ化するというのはリテラルの部分をプレースホルダを使って記述することです。

例えば以下の SELECT クエリの場合、'server' というリテラル部分を、

SELECT id, 製品 FROM TableA WHERE カテゴリ='サーバー'

以下のように @Category というプレースホルダを使って記述することです。

SELECT id, Product FROM TableA WHERE Category=@Category

詳しくは以下の記事を見てください。

パラメータ化クエリ

加えて、SqlParameter クラスを利用してクエリをパラメータ化すると sp_executesql に変換されて SQL Server で実行されるのですが、その際に N プレフィックスが付与されます。

例えば、以下のコードを実行すると、

query ="INSERT INTO [Table] ([Name]) VALUES (@Name)";
using(SqlCommand cmd = new SqlCommand(query, conn))
{
    cmd.Parameters.Add(new SqlParameter("@Name", SqlDbType.NVarChar, 50));
    cmd.Parameters["@Name"].Value = "かきくけこ";
    cmd.ExecuteNonQuery();
}

SQL Server では以下のように sp_executesql に変換されて実行され N プレフィックスが付与されます。

exec sp_executesql 
    N'INSERT INTO [Table] ([Name]) VALUES (@Name)',
    N'@Name nvarchar(5)',
    @Name=N'かきくけこ'

詳しくは以下の記事を見てください。

パラメータ化の副次的な効用

SurferOnWww 3,906 評価のポイント

2025-02-08T07:37:16.43+00:00

変更が反映されないのでここで訂正します

誤: SELECT id, 製品 FROM TableA WHERE カテゴリ='サーバー'

正: SELECT id, Product FROM TableA WHERE Category='server'
nqyuta 80 評価のポイント

2025-02-12T01:10:47.8166667+00:00
ご返信遅くなり申し訳ございません。

ご回答ありがとうがございます。

非推奨になっているのは SqlParameterCollection.Add(String, Object) メソッドであって、代わりに AddWithValue メソッドを使えということです。

こちら、AddWithValue メソッドのことと誤認していました。

ありがとうございます。

また、AddWithValueメソッドを使用してSQLインジェクション対策ができ、Nプレフィクスの対応もできるといった考えですが、クエリをパラメータ化して、AddWithValueメソッドを用いて値の挿入を行えば目的が果たせると考えていました。

query ="INSERT INTO [Table] ([Name]) VALUES (@Name)"; using(SqlCommand cmd = new SqlCommand(query, conn)) { cmd.Parameters.AddWithValue("@Name","かきくけこ") cmd.ExecuteNonQuery(); }

このようにすることで、内部的にSqlDbTypeがNVarCharとなり、Nプレフィクスに対応できるという判断でした。

AddWithValueメソッドも用いると、SqlDbTypeがNVarCharとならない可能性があるという認識で間違いないでしょうか。

その場合、私の目的を達成するにはパラメータ化したSQL文の、すべてのパラメータに対してSqlDbTypeを指定する必要があるのでしょうか。
SurferOnWww 3,906 評価のポイント

2025-02-12T05:09:26.4166667+00:00

自分は AddWithValue は決して使わないし、それを使った場合どうなるかなどは調べてないので分かりません。 SQL Server でどのような SQL 分が実行されるかはプロファイラを使えばわかると思いますので、ご自分の環境・コードで調べてみてはいかがでしょう。
nqyuta 80 評価のポイント

2025-02-12T07:33:59.99+00:00

ご回答ありがとうございます。

一度自分の環境で確かめてみようと思います。

ありがとうございました。

次の方法で共有

MSDNがAddWithValueメソッドを非推奨にしている理由

4 件の追加の回答

お客様の回答