C#からSQL Serverへ！データベース接続の基本を学ぶ

はじめに：なぜC#とSQL Serverなのか

今日の多くの業務システムやWebアプリケーションにおいて、データの永続化は不可欠です。アプリケーションが生成・収集したデータを保存し、必要に応じて読み出し、更新、削除する機能が求められます。データベースはその中心的な役割を担います。

数あるプログラミング言語とデータベースの組み合わせの中でも、Microsoftのエコシステムにおいて、C#とSQL Serverは非常に強力で一般的な組み合わせです。C#は.NETプラットフォーム上で動作するモダンで多機能な言語であり、Windowsアプリケーション、Webアプリケーション（ASP.NET）、モバイルアプリケーション（Xamarin/MAUI）、ゲーム開発（Unity）など、幅広い分野で利用されています。一方、SQL ServerはMicrosoftが開発・提供する高性能なリレーショナルデータベース管理システム（RDBMS）であり、その安定性、拡張性、管理ツール（SQL Server Management Studio – SSMS）の使いやすさから、多くの企業で採用されています。

C#アプリケーションからSQL Serverデータベースにアクセスすることは、これらのシステムを構築する上で避けて通れない技術です。顧客情報、在庫データ、取引履歴、設定情報など、アプリケーションが扱うあらゆる種類のデータをデータベースに保存し、操作するための基礎となります。

この記事では、C#アプリケーションからSQL Serverデータベースへ接続し、基本的なデータ操作（読み取り、追加、更新、削除 – いわゆるCRUD操作）を行うための「基本のキ」を徹底的に解説します。ADO.NETというデータアクセス技術の根幹を理解し、安全かつ効率的なデータベースプログラミングの土台を築くことを目指します。

これからC#でデータベース連携アプリケーションを開発しようとしている方、ADO.NETの基本をしっかり学びたい方にとって、この記事が確かな一歩となることを願っています。

データベース接続の前提知識

C#からSQL Serverに接続する前に、いくつかの基本的な概念を理解しておく必要があります。

リレーショナルデータベースの基本

SQL Serverはリレーショナルデータベース（RDB）です。RDBでは、データは「テーブル」と呼ばれる二次元の表形式で整理されます。

テーブル (Table): 特定の種類のデータを格納する構造体です。例えば、「顧客」テーブル、「製品」テーブルなど。
行 (Row / Record): テーブル内の個々のデータ項目です。例えば、「顧客」テーブルの一人の顧客情報全体が一つの行となります。
列 (Column / Field): テーブル内の特定の属性です。例えば、「顧客」テーブルの「顧客ID」、「氏名」、「住所」などが列となります。各列は特定のデータ型（数値、文字列、日付など）を持ちます。
主キー (Primary Key): テーブル内の各行を一意に識別するための列（または列の組み合わせ）です。主キーはNULL値を持つことができず、重複する値も許されません。
外部キー (Foreign Key): 他のテーブルの主キーを参照する列です。テーブル間の関係（リレーション）を定義するために使用されます。

SQL (Structured Query Language) の基本

SQLは、リレーショナルデータベースを操作するための標準的な言語です。C#アプリケーションからデータベースを操作する際には、基本的にSQL文を発行してデータベースに指示を出します。最低限知っておくべき基本的なSQLコマンドは以下の通りです。

SELECT: データベースからデータを検索・取得します。
sql SELECT column1, column2 FROM table_name WHERE condition;
INSERT: テーブルに新しい行を追加します。
sql INSERT INTO table_name (column1, column2) VALUES (value1, value2);
UPDATE: 既存の行のデータを更新します。
sql UPDATE table_name SET column1 = new_value1 WHERE condition;
DELETE: テーブルから行を削除します。
sql DELETE FROM table_name WHERE condition;
これらのSQL文をC#コード内で組み立て、データベースに対して実行することになります。

データベース接続の種類

データベース接続にはいくつかの形態があります。

ローカル接続: データベースサーバーとアプリケーションが同じマシン上で動作している場合の接続です。
リモート接続: データベースサーバーとアプリケーションが異なるマシン上で動作している場合の接続です。ネットワーク経由での通信が必要になります。

この記事では、主にローカルまたは同一ネットワーク内のリモート接続を想定します。インターネットを介したリモート接続の場合は、ファイアウォールの設定やより高度なセキュリティ対策が必要になります。

接続文字列の概念

データベース接続を行うためには、「どこにある、どのデータベースに、誰が、どのようにして接続するのか」という情報を指定する必要があります。この情報一式をまとめたものが「接続文字列 (Connection String)」です。

接続文字列には、通常以下のような情報が含まれます。

Server / Data Source / Address: データベースサーバーのアドレスまたは名前（例: . (ローカル), localhost, (local)\SQLEXPRESS, YourServerName\SQLEXPRESS, 192.168.1.100）
Database / Initial Catalog: 接続したいデータベース名（例: MyDatabase）
User ID / UID: 接続ユーザー名（SQL Server認証の場合）
Password / PWD: 接続パスワード（SQL Server認証の場合）
Integrated Security / Trusted_Connection: Windows認証を使用するかどうか（True の場合、アプリケーションを実行しているWindowsユーザーの権限で接続します。SQL Server認証よりも推奨されます。）
その他（接続プーリング設定、タイムアウト設定など）

接続文字列の正確なフォーマットは、使用するデータベースシステムや接続方法によって異なりますが、SQL Serverの場合はいくつかの一般的な形式があります。

例：
* Windows認証 (ローカルまたはドメイン環境): Server=.;Database=MyDatabase;Integrated Security=True;
* SQL Server認証: Server=YourServerName;Database=MyDatabase;User ID=YourUsername;Password=YourPassword;
* SQLEXPRESSインスタンス (ローカル): Server=(local)\SQLEXPRESS;Database=MyDatabase;Integrated Security=True;

接続文字列はアプリケーションの構成ファイル（App.config や Web.config）に保存するのが一般的で、コード内に直接書き込むのはセキュリティ上避けるべきです。

必要な開発環境の準備

C#からSQL Serverに接続するための環境を整えましょう。

Visual Studioのインストール: C#コードを記述し、コンパイル・実行するための統合開発環境 (IDE) です。コミュニティ版は個人利用や教育目的、小規模チームであれば無償で利用できます。公式サイトから最新版をダウンロードしてインストールしてください。インストール時には、「.NETデスクトップ開発」などのワークロードを選択してください。
SQL ServerまたはSQL Server Expressのインストール: データベースサーバー本体です。開発や学習用途であれば、無償版のSQL Server Expressで十分です。Microsoftの公式サイトからダウンロードしてインストールしてください。インストール時にインスタンス名や認証モード（Windows認証かSQL Server認証か）を設定します。デフォルトインスタンスまたは名前付きインスタンスとしてインストールされます。
SQL Server Management Studio (SSMS) のインストール: SQL Serverを管理するためのGUIツールです。データベースの作成、テーブルの設計、データの参照・編集、SQLクエリの実行などが簡単に行えます。これもMicrosoftの公式サイトからダウンロードしてインストールしてください。
サンプルのデータベースの作成: SSMSを使って、練習用のデータベースを作成します。
- SSMSを起動し、インストールしたSQL Serverインスタンスに接続します。
- 左側のオブジェクトエクスプローラーで「Databases」を右クリックし、「New Database…」を選択します。
- データベース名を入力します（例: SampleDB）。
- 「OK」をクリックしてデータベースを作成します。
- 作成したデータベース（例: SampleDB）を展開し、「Tables」を右クリックし、「New」→「Table…」を選択します。
- 簡単なテーブルを設計します。例えば、「Products」テーブルを作成しましょう。
  - Column Name: ProductID (Data Type: INT, Allow Nulls: チェックなし, Identity Specification: Is Identity を Yes に設定)
  - Column Name: ProductName (Data Type: NVARCHAR(100), Allow Nulls: チェックなし)
  - Column Name: Price (Data Type: DECIMAL(10, 2), Allow Nulls: チェックなし)
  - ProductID の列を右クリックして「Set Primary Key」を選択し、主キーに設定します。
- テーブルを保存します（ファイル→「Save Table_1」）。テーブル名を聞かれるので、「Products」と入力します。
- 作成したテーブルにいくつかのサンプルデータを挿入しておくと、SELECTのテストがしやすくなります。
  - オブジェクトエクスプローラーで Products テーブルを右クリックし、「Edit Top 200 Rows」を選択します。
  - 表示されたグリッドにデータを直接入力します（ProductIDはIdentity列なので自動生成されます）。
    - 例：
      - ProductName: Apple, Price: 1.20
      - ProductName: Banana, Price: 0.50
      - ProductName: Cherry, Price: 3.00

これで、C#アプリケーションから接続し、操作する対象となるデータベースとテーブルの準備ができました。

ADO.NETの概要

C#を含む.NETアプリケーションからデータベースにアクセスするための主要なテクノロジーが ADO.NET です。ADO.NETは、Common Language Runtime (CLR) が提供するクラスライブラリの一部であり、様々なデータソース（リレーショナルデータベース、XML、スプレッドシートなど）へのアクセスを統一的に行うためのフレームワークです。

ADO.NETは主に以下の二つのアーキテクチャを提供します。

接続型アーキテクチャ (Connected Architecture): データベースとの接続を確立し、その接続を開いたままデータ操作を行います。データリーダー (DataReader) を使ってデータをストリームとして順方向に読み取る場合に主に利用されます。シンプルで高速ですが、接続を長時間保持するとリソースを消費します。この記事の基本的な操作は、この接続型アーキテクチャを中心に行います。
非接続型アーキテクチャ (Disconnected Architecture): データベースから取得したデータをメモリ上のオブジェクト（DataSet, DataTable）に格納し、一度接続を閉じます。メモリ上のデータに対して操作を行い、変更内容をまとめて後でデータベースに反映させます。接続を開いている時間が短いため、スケーラビリティの高いアプリケーションに適していますが、メモリ消費が大きくなる可能性があります。SqlDataAdapterやSqlCommandBuilderなどがこのアーキテクチャで使用されます（この記事では非接続型アーキテクチャの詳細は扱いませんが、概念は重要です）。

ADO.NETの主要なクラス（System.Data.SqlClient 名前空間）

SQL Serverに接続する場合、ADO.NETのクラスは System.Data.SqlClient 名前空間に含まれています。この名前空間は、SQL Server固有の機能を利用するためのマネージドプロバイダーです。主要なクラスは以下の通りです。

SqlConnection: データベースとの接続を表します。接続文字列を使ってデータベースサーバーへの物理的な接続を確立・管理します。
SqlCommand: データベースに対して実行するSQLコマンド（SELECT, INSERT, UPDATE, DELETEなど）またはストアドプロシージャを表します。どの接続 (SqlConnection) で実行するかを指定します。
SqlDataReader: データベースから取得した結果セットを、行ごとに順方向に読み取るためのクラスです。SqlCommand.ExecuteReader() メソッドで取得します。データを読み取っている間、データベース接続は開いたままです。
SqlParameter: SQLコマンドで使用するパラメータを表します。SQLインジェクションを防ぎ、データ型を正しく扱うために重要です。
SqlTransaction: データベース上でのトランザクションを表します。複数のデータベース操作を一つの単位として扱い、全て成功するか、全て失敗して元に戻すか（ロールバック）を制御します。
SqlDataAdapter: 非接続型アーキテクチャで使用されるクラスです。DataSetやDataTableとデータベースの間でデータのやり取りを行います。SELECT コマンドでデータを取得しDataSet/DataTableに格納したり、DataSet/DataTableの変更をデータベースに反映させたりします。
DataSet / DataTable: メモリ上のリレーショナルデータを表すオブジェクトです。DataSetは複数のDataTableを含むことができ、リレーションを持つことも可能です。SqlDataAdapterと組み合わせて使用されます。

これらのクラスを組み合わせて、データベースとのインタラクションを実現します。この記事では、SqlConnection, SqlCommand, SqlDataReader, SqlParameter, SqlTransaction を中心に解説します。

基本的なデータベース接続の実装

それでは、C#コードからSQL Serverに接続する最も基本的な方法を見ていきましょう。Visual Studioで新しいC#のコンソールアプリケーションプロジェクトを作成し、以下のコードを記述していきます。

SqlConnectionクラスを使った接続

データベース接続の中心となるのが SqlConnection クラスです。

必要な名前空間の追加:
コードファイルの先頭に using System.Data.SqlClient; を追加します。
接続文字列の定義:
前述の接続文字列を用意します。ここでは例としてWindows認証を使用し、ローカルのSQL Server Expressインスタンスにある SampleDB データベースに接続するとします。

csharp string connectionString = @"Server=(local)\SQLEXPRESS;Database=SampleDB;Integrated Security=True;";
注意: (local)\SQLEXPRESS の部分は、ご自身のSQL Server Expressのインスタンス名に合わせてください。デフォルトインスタンスの場合は . または localhost となります。Windows認証ではなくSQL Server認証を使う場合は User ID=YourUsername;Password=YourPassword; の形式になります。@ はC#のリテラル文字列で、バックスラッシュをエスケープする必要がなくなります。
SqlConnectionオブジェクトの生成:
接続文字列を使って SqlConnection のインスタンスを作成します。

csharp SqlConnection connection = new SqlConnection(connectionString);
接続を開く (Open()) と閉じる (Close()):
実際にデータベースとの物理的な接続を確立するには Open() メソッドを呼び出します。接続が不要になったら Close() メソッドを呼び出して接続を閉じます。

“`csharp
try
{
connection.Open();
Console.WriteLine(“データベースに接続しました！”);
```
// ここでデータベース操作（後述）
```
}
catch (SqlException ex)
{
Console.WriteLine($”データベース接続エラー: {ex.Message}”);
}
finally
{
// 接続が開いている場合のみ閉じる
if (connection.State == System.Data.ConnectionState.Open)
{
connection.Close();
Console.WriteLine(“データベース接続を閉じました。”);
}
}
`` 接続操作はネットワークやサーバーの状態に依存するため、例外が発生する可能性があります。必ずtry-catch` ブロックで囲み、エラー発生時に適切に処理することが重要です。
using ステートメントを使った接続のリソース管理:
SqlConnection クラスは IDisposable インターフェースを実装しています。これは、使用後にリソース（この場合はデータベース接続）を解放する必要があることを意味します。Close() メソッドを呼び出すことでリソースは解放されますが、例外が発生した場合に finally ブロックで確実に Close() を呼び出すのは少し面倒です。

C#では、using ステートメントを使うことで、IDisposable オブジェクトを安全かつ簡潔に扱うことができます。using ブロックを抜けるときに、オブジェクトの Dispose() メソッド（SqlConnectionの場合は内部で Close() を呼び出す）が自動的に呼び出されます。例外が発生した場合でも、finally ブロックと同等に確実に Dispose() が実行されます。データベース接続は必ず using ステートメントで囲むべきです。

“`csharp
string connectionString = @”Server=(local)\SQLEXPRESS;Database=SampleDB;Integrated Security=True;”;

try
{
using (SqlConnection connection = new SqlConnection(connectionString))
{
connection.Open();
Console.WriteLine(“データベースに接続しました！”);
```
    // ここでデータベース操作（後述）

    // usingブロックを抜けるとconnection.Dispose()が自動的に呼ばれ、接続が閉じられる

} // ここでDispose()が呼ばれる
Console.WriteLine("データベース接続を閉じました。"); // usingブロックの外
```
}
catch (SqlException ex)
{
Console.WriteLine($”データベース接続エラー: {ex.Message}”);
}
catch (Exception ex)
{
Console.WriteLine($”その他のエラー: {ex.Message}”);
}
`` これ以降、データベース接続を行う際は常にusing` ステートメントを使用します。

データの取得 (SELECT)

データベースに接続できたら、次はデータを取り出す方法です。SELECT 文を実行するには SqlCommand クラスと SqlDataReader クラスを使用します。

“`csharp
string connectionString = @”Server=(local)\SQLEXPRESS;Database=SampleDB;Integrated Security=True;”;
string sql = “SELECT ProductID, ProductName, Price FROM Products”; // 実行するSQL文

try
{
using (SqlConnection connection = new SqlConnection(connectionString))
{
connection.Open();
Console.WriteLine(“データベースに接続しました！”);

    // SqlCommand オブジェクトの生成
    using (SqlCommand command = new SqlCommand(sql, connection))
    {
        // ExecuteReader()でコマンドを実行し、SqlDataReaderを取得
        // usingブロックで囲むことで、読み取り終了後にReaderが自動解放される
        using (SqlDataReader reader = command.ExecuteReader())
        {
            // HasRows プロパティで結果セットにデータがあるか確認
            if (reader.HasRows)
            {
                Console.WriteLine("--- 製品リスト ---");
                // Read() メソッドで行ごとにデータを読み取る
                // Read()は次の行に移動し、データがあればtrueを返す
                while (reader.Read())
                {
                    // 各列のデータを取得
                    // 列のインデックスまたは列名を指定できる
                    // データ型に応じた適切なReaderメソッドを使用する
                    int productId = reader.GetInt32(0); // 0番目の列 (ProductID) をintとして取得
                    // または: int productId = reader.GetInt32(reader.GetOrdinal("ProductID"));
                    string productName = reader.GetString(1); // 1番目の列 (ProductName) をstringとして取得
                    decimal price = reader.GetDecimal(2); // 2番目の列 (Price) をdecimalとして取得
                    // DBNull.Value チェックも重要
                    // string productName = reader["ProductName"] as string; // dynamic access (遅い)
                    // decimal price = reader.GetDecimal(reader.GetOrdinal("Price"));

                    Console.WriteLine($"ID: {productId}, 製品名: {productName}, 価格: {price:C}");
                }
                Console.WriteLine("------------------");
            }
            else
            {
                Console.WriteLine("データがありません。");
            }

        } // SqlDataReaderもIDisposableなのでusingで囲む

    } // SqlCommandもIDisposableなのでusingで囲む

} // SqlConnectionもIDisposableなのでusingで囲む
Console.WriteLine("データベース接続を閉じました。");

}
catch (SqlException ex)
{
Console.WriteLine($”データベースエラー: {ex.Message}”);
}
catch (Exception ex)
{
Console.WriteLine($”その他のエラー: {ex.Message}”);
}
“`

解説：

SqlCommand の生成: 実行したいSQL文と、そのコマンドを実行する SqlConnection オブジェクトをコンストラクタに渡して SqlCommand オブジェクトを作成します。ここでも using ステートメントを使っています。
ExecuteReader() の実行: SELECT 文のように結果セットを返すSQLコマンドを実行するには、SqlCommand の ExecuteReader() メソッドを呼び出します。このメソッドは SqlDataReader オブジェクトを返します。
SqlDataReader によるデータの読み取り: SqlDataReader は順方向専用のデータリーダーです。Read() メソッドを呼び出すごとに、結果セットの次の行に移動します。最初の Read() 呼び出しで最初の行に移動します。全ての行を読み終えると Read() は false を返します。while (reader.Read()) のループを使って、結果セットの全行を順番に処理できます。
列データの取得: SqlDataReader は、カレント行の各列のデータを取得するための様々なメソッド（GetInt32, GetString, GetDecimal, GetDateTime など）を提供します。これらのメソッドには、取得したい列のゼロベースのインデックス、または列名（列名で取得する場合は事前に GetOrdinal("列名") でインデックスを取得しておくと効率的）を指定します。列のデータ型に合ったメソッドを使うことが重要です。また、データベースの列がNULLを許容している場合は、reader.IsDBNull(列インデックス) でNULLかどうかをチェックし、必要に応じて reader.GetSqlValue(列インデックス) を使うなどの対応が必要です。

スカラー値の取得 (`ExecuteScalar()`)

SELECT COUNT(*) や SELECT MAX(Price) のように、単一の値（スカラー値）を返すクエリを実行する場合は、ExecuteScalar() メソッドを使うと便利です。これは結果セットの最初の行の最初の列の値だけを object 型で返します。

“`csharp
string sqlCount = “SELECT COUNT(*) FROM Products”;

using (SqlConnection connection = new SqlConnection(connectionString))
{
connection.Open();
using (SqlCommand command = new SqlCommand(sqlCount, connection))
{
object result = command.ExecuteScalar();
int productCount = Convert.ToInt32(result); // object型を適切な型に変換

    Console.WriteLine($"製品の総数: {productCount}");
}

}
“`

結果に影響しないコマンドの実行 (`ExecuteNonQuery()`)

INSERT, UPDATE, DELETE文など、結果セットを返さないコマンドを実行する場合は、ExecuteNonQuery() メソッドを使います。このメソッドは、コマンドの実行によって影響を受けた行数（INSERT, UPDATE, DELETEされた行数）を返します。

csharp // INSERT, UPDATE, DELETE のセクションで詳しく解説します。

データの追加 (INSERT)

データベースに新しいデータを追加するには INSERT 文を実行します。結果セットは返さないため、ExecuteNonQuery() メソッドを使用します。

シンプルなINSERT

“`csharp
string connectionString = @”Server=(local)\SQLEXPRESS;Database=SampleDB;Integrated Security=True;”;
// Identity列 (ProductID) は指定しない
string sqlInsert = “INSERT INTO Products (ProductName, Price) VALUES (‘Orange’, 0.75)”;

try
{
using (SqlConnection connection = new SqlConnection(connectionString))
{
connection.Open();
Console.WriteLine(“データベースに接続しました！”);

    using (SqlCommand command = new SqlCommand(sqlInsert, connection))
    {
        // ExecuteNonQuery() を実行
        int rowsAffected = command.ExecuteNonQuery();

        Console.WriteLine($"{rowsAffected} 行のデータが追加されました。");
    }
}
Console.WriteLine("データベース接続を閉じました。");

}
catch (SqlException ex)
{
Console.WriteLine($”データベースエラー: {ex.Message}”);
}
catch (Exception ex)
{
Console.WriteLine($”その他のエラー: {ex.Message}”);
}
“`
このコードを実行すると、Productsテーブルに「Orange」という製品が追加されます。

SQLインジェクションの危険性

上記の例のように、SQL文に値を直接埋め込む方法は、固定値を追加する場合には問題ありません。しかし、アプリケーションのユーザーからの入力値など、外部から取得した値を使ってSQL文を組み立てる場合、SQLインジェクションというセキュリティ上の脆弱性を招く可能性があります。

例えば、ユーザーが製品名を入力するテキストボックスがあり、その入力値を使って以下のようなSQL文を組み立てるとします。

“`csharp
string userInputName = textBoxProductName.Text; // 例: ユーザーが入力した値
string userInputPrice = textBoxPrice.Text;

// 危険な例: ユーザー入力を直接SQLに埋め込む
string sqlDangerous = $”INSERT INTO Products (ProductName, Price) VALUES (‘{userInputName}’, {userInputPrice})”;
// もし userInputName が ‘ABC’; DROP TABLE Products; — のような値だったら？
// SQL文が書き換えられてしまい、危険な操作が実行される可能性がある
“`

ユーザー入力に悪意のある文字列（例えば、SQLコマンドの一部をコメントアウトしたり、別のコマンドを挿入したりするような文字列）が含まれていた場合、意図しないSQL文が実行されてしまう可能性があります。これがSQLインジェクション攻撃です。

パラメータ化クエリによるSQLインジェクション対策

SQLインジェクションを防ぐ最も効果的で推奨される方法は、「パラメータ化クエリ」を使用することです。パラメータ化クエリでは、SQL文の中でリテラル値を入れるべき場所に「パラメータ」のプレースホルダーを置き、値そのものは別の方法でコマンドオブジェクトに渡します。

SqlCommand オブジェクトは Parameters コレクションを持っており、ここに SqlParameter オブジェクトを追加することでパラメータを設定できます。データベースプロバイダー（System.Data.SqlClient）が、これらのパラメータ値を安全にSQLコマンドに組み込んで実行してくれます。値はデータとして扱われるため、含まれる文字列がSQLコマンドの一部として解釈されることはありません。

SQL Serverの場合、パラメータのプレースホルダーは @パラメータ名 の形式で記述します。

“`csharp
string connectionString = @”Server=(local)\SQLEXPRESS;Database=SampleDB;Integrated Security=True;”;

// 追加したい製品データ（ユーザー入力などから取得したと想定）
string newProductName = “Grape”;
decimal newPrice = 1.50m;

// パラメータを使用するSQL文
// @name と @price がパラメータのプレースホルダー
string sqlInsertWithParameters = “INSERT INTO Products (ProductName, Price) VALUES (@name, @price)”;

try
{
using (SqlConnection connection = new SqlConnection(connectionString))
{
connection.Open();
Console.WriteLine(“データベースに接続しました！”);

    using (SqlCommand command = new SqlCommand(sqlInsertWithParameters, connection))
    {
        // SqlParameter オブジェクトを作成し、Parameters コレクションに追加
        // パラメータ名、データ型、値を指定する
        command.Parameters.AddWithValue("@name", newProductName); // SqlDbTypeを推測させる（簡便だが非推奨の場合も）

        // または、DbTypeまたはSqlDbTypeとサイズを明示的に指定（推奨）
        // command.Parameters.Add("@name", System.Data.SqlDbType.NVarChar, 100).Value = newProductName;

        // DECIMAL型パラメータの追加
        command.Parameters.AddWithValue("@price", newPrice);
        // または
        // command.Parameters.Add("@price", System.Data.SqlDbType.Decimal).Value = newPrice;
        // command.Parameters["@price"].Precision = 10;
        // command.Parameters["@price"].Scale = 2;


        int rowsAffected = command.ExecuteNonQuery();

        Console.WriteLine($"{rowsAffected} 行のデータが追加されました (パラメータ化クエリ)。");

        // Identity列の値を取得する場合 (INSERTED OUTPUT 句などを使用)
        // string sqlInsertWithOutput = "INSERT INTO Products (ProductName, Price) OUTPUT INSERTED.ProductID VALUES (@name, @price)";
        // command.CommandText = sqlInsertWithOutput;
        // object newId = command.ExecuteScalar(); // ExecuteScalarで取得可能
        // int insertedId = Convert.ToInt32(newId);
        // Console.WriteLine($"追加された製品のID: {insertedId}");

    }
}
Console.WriteLine("データベース接続を閉じました。");

}
catch (SqlException ex)
{
Console.WriteLine($”データベースエラー: {ex.Message}”);
}
catch (Exception ex)
{
Console.WriteLine($”その他のエラー: {ex.Message}”);
}
“`

解説：

SQL文の中で @name と @price というプレースホルダーを使用しています。
command.Parameters.AddWithValue("@name", newProductName); のように、SqlCommand.Parameters コレクションに SqlParameter を追加します。AddWithValue は便利ですが、データ型やサイズを推測するため、特にDECIMAL型などで精度・スケール指定が必要な場合やパフォーマンスが重視される場合は、データ型を明示的に指定するオーバーロード（例: command.Parameters.Add("@name", System.Data.SqlDbType.NVarChar, 100).Value = newProductName;）を使用するのが推奨されます。
パラメータを追加した後、通常通り ExecuteNonQuery() を実行します。ADO.NETプロバイダーがこれらのパラメータ値を安全にデータベースに送信します。

パラメータ化クエリは、SQLインジェクションを防ぐだけでなく、データベースサーバー側でのクエリプランの再利用を促進し、パフォーマンスを向上させる効果もあります。外部からの入力値を扱う場合は、必ずパラメータ化クエリを使用しましょう。

データの更新 (UPDATE)

既存のデータを更新するには UPDATE 文を実行します。これも結果セットを返さないコマンドなので、ExecuteNonQuery() を使用します。更新対象を指定するために WHERE 句を使用するのが一般的です。

“`csharp
string connectionString = @”Server=(local)\SQLEXPRESS;Database=SampleDB;Integrated Security=True;”;

// 更新したい製品データ
int productIdToUpdate = 1; // 例: IDが1の製品
string updatedProductName = “Updated Apple”;
decimal updatedPrice = 1.50m;

// パラメータを使用するUPDATE文
string sqlUpdate = “UPDATE Products SET ProductName = @name, Price = @price WHERE ProductID = @id”;

try
{
using (SqlConnection connection = new SqlConnection(connectionString))
{
connection.Open();
Console.WriteLine(“データベースに接続しました！”);

    using (SqlCommand command = new SqlCommand(sqlUpdate, connection))
    {
        // パラメータの設定
        command.Parameters.AddWithValue("@name", updatedProductName);
        command.Parameters.AddWithValue("@price", updatedPrice);
        command.Parameters.AddWithValue("@id", productIdToUpdate); // WHERE句の条件もパラメータ化

        int rowsAffected = command.ExecuteNonQuery();

        Console.WriteLine($"{rowsAffected} 行のデータが更新されました。");
        if (rowsAffected == 0)
        {
            Console.WriteLine($"指定された ProductID={productIdToUpdate} の製品は見つかりませんでした。");
        }
    }
}
Console.WriteLine("データベース接続を閉じました。");

}
catch (SqlException ex)
{
Console.WriteLine($”データベースエラー: {ex.Message}”);
}
catch (Exception ex)
{
Console.WriteLine($”その他のエラー: {ex.Message}”);
}
``UPDATE文でもパラメータ化クエリは必須です。特にWHERE` 句でユーザー入力値や外部からの値を使用する場合は、パラメータ化しないとSQLインジェクションの危険性が高まります。

データの削除 (DELETE)

データを削除するには DELETE 文を実行します。これも結果セットを返さないコマンドなので、ExecuteNonQuery() を使用します。削除対象を指定するために WHERE 句を使用するのが一般的です。WHERE 句を省略するとテーブルの全データが削除されるため、注意が必要です。

“`csharp
string connectionString = @”Server=(local)\SQLEXPRESS;Database=SampleDB;Integrated Security=True;”;

// 削除したい製品のID
int productIdToDelete = 4; // 例: IDが4の製品

// パラメータを使用するDELETE文
string sqlDelete = “DELETE FROM Products WHERE ProductID = @id”;

try
{
using (SqlConnection connection = new SqlConnection(connectionString))
{
connection.Open();
Console.WriteLine(“データベースに接続しました！”);

    using (SqlCommand command = new SqlCommand(sqlDelete, connection))
    {
        // パラメータの設定
        command.Parameters.AddWithValue("@id", productIdToDelete);

        int rowsAffected = command.ExecuteNonQuery();

        Console.WriteLine($"{rowsAffected} 行のデータが削除されました。");
         if (rowsAffected == 0)
        {
            Console.WriteLine($"指定された ProductID={productIdToDelete} の製品は見つかりませんでした。");
        }
    }
}
Console.WriteLine("データベース接続を閉じました。");

}
catch (SqlException ex)
{
Console.WriteLine($”データベースエラー: {ex.Message}”);
}
catch (Exception ex)
{
Console.WriteLine($”その他のエラー: {ex.Message}”);
}
``DELETE` 文でも同様に、削除条件に外部からの値を使用する場合はパラメータ化クエリを徹底します。

トランザクションの基本

複数のデータベース操作（INSERT, UPDATE, DELETEなど）を一連の処理として扱い、「すべて成功した場合のみ変更を確定する（コミット）」、「途中で一つでも失敗したら、それまでに行った変更を全て元に戻す（ロールバック）」という制御が必要な場合があります。例えば、注文処理で「在庫の減少」「売上の計上」「出荷伝票の作成」といった複数の更新処理が成功しないと、データの一貫性が保てません。このようなケースで利用するのがトランザクションです。

データベースのトランザクションには、以下のACID特性が求められます。

原子性 (Atomicity): トランザクション内の全ての操作は、完全に実行されるか、全く実行されないかのどちらかである。分割不可能である。
一貫性 (Consistency): トランザクションは、データベースをある一貫性のある状態から別の一貫性のある状態へ遷移させる。制約違反などが起きないように保証される。
分離性 (Isolation): 複数のトランザクションが同時に実行されても、それぞれのトランザクションは他のトランザクションの影響を受けないように見える。まるで一つずつ順番に実行されているかのように処理される。
永続性 (Durability): 一度コミットされたトランザクションによる変更は、システム障害（電源断など）が発生しても失われない。

ADO.NETでは、SqlTransaction クラスを使ってトランザクションを管理します。

トランザクションの開始: SqlConnection オブジェクトの BeginTransaction() メソッドを呼び出すことでトランザクションを開始し、SqlTransaction オブジェクトを取得します。
コマンドへのトランザクションの関連付け: トランザクション内で実行したい SqlCommand オブジェクトに対して、生成した SqlTransaction オブジェクトを関連付けます。
コミットまたはロールバック: 全ての操作が成功したら SqlTransaction オブジェクトの Commit() メソッドを呼び出して変更を確定します。途中で例外などが発生した場合は、SqlTransaction オブジェクトの Rollback() メソッドを呼び出して、トランザクション開始時点の状態に戻します。

トランザクション処理の一般的な構造は以下のようになります。

“`csharp
string connectionString = @”Server=(local)\SQLEXPRESS;Database=SampleDB;Integrated Security=True;”;

// トランザクション内で実行する操作を想定
// 例: 製品ID=5の製品を削除し、ID=1の製品の価格を更新する（関連性のない例ですが構造を示すため）
int productIdToDelete = 5;
int productIdToUpdate = 1;
decimal priceIncrease = 0.10m;

using (SqlConnection connection = new SqlConnection(connectionString))
{
connection.Open();
Console.WriteLine(“データベースに接続しました！”);

// トランザクションを開始
SqlTransaction transaction = connection.BeginTransaction();
Console.WriteLine("トランザクションを開始しました。");

try
{
    // --- トランザクション内の操作 ---

    // 1. 製品の削除コマンド
    string sqlDelete = "DELETE FROM Products WHERE ProductID = @idToDelete";
    using (SqlCommand commandDelete = new SqlCommand(sqlDelete, connection, transaction)) // SqlCommandにconnectionとtransactionを関連付ける
    {
        commandDelete.Parameters.AddWithValue("@idToDelete", productIdToDelete);
        int rowsDeleted = commandDelete.ExecuteNonQuery();
        Console.WriteLine($"{rowsDeleted} 行の製品が削除されました。");
         if (rowsDeleted == 0)
        {
            // 削除対象が見つからない場合など、業務ロジックによってはここで例外をスローする
            // throw new InvalidOperationException($"削除対象の製品ID={productIdToDelete} が見つかりません。");
        }
    }

    // 2. 製品の価格更新コマンド
    string sqlUpdate = "UPDATE Products SET Price = Price + @increase WHERE ProductID = @idToUpdate";
     using (SqlCommand commandUpdate = new SqlCommand(sqlUpdate, connection, transaction)) // SqlCommandにconnectionとtransactionを関連付ける
    {
        commandUpdate.Parameters.AddWithValue("@increase", priceIncrease);
        commandUpdate.Parameters.AddWithValue("@idToUpdate", productIdToUpdate);
        int rowsUpdated = commandUpdate.ExecuteNonQuery();
        Console.WriteLine($"{rowsUpdated} 行の製品価格が更新されました。");
         if (rowsUpdated == 0)
        {
             // 更新対象が見つからない場合など
             Console.WriteLine($"更新対象の製品ID={productIdToUpdate} が見つかりません。価格は更新されていません。");
             // throw new InvalidOperationException($"更新対象の製品ID={productIdToUpdate} が見つかりません。");
        }
    }

    // 例外が発生しなかった場合、トランザクションをコミット
    transaction.Commit();
    Console.WriteLine("トランザクションをコミットしました。");

}
catch (SqlException ex)
{
    // SQL関連のエラーが発生した場合、トランザクションをロールバック
    Console.WriteLine($"データベースエラーが発生しました: {ex.Message}");
    if (transaction != null)
    {
        try
        {
            transaction.Rollback();
            Console.WriteLine("トランザクションをロールバックしました。");
        }
        catch (Exception rollbackEx)
        {
            Console.WriteLine($"ロールバック中にエラーが発生しました: {rollbackEx.Message}");
        }
    }
}
catch (Exception ex)
{
    // その他のエラーが発生した場合、トランザクションをロールバック
    Console.WriteLine($"その他のエラーが発生しました: {ex.Message}");
    if (transaction != null)
    {
        try
        {
            transaction.Rollback();
            Console.WriteLine("トランザクションをロールバックしました。");
        }
        catch (Exception rollbackEx)
        {
            Console.WriteLine($"ロールバック中にエラーが発生しました: {rollbackEx.Message}");
        }
    }
}
finally
{
    // SqlConnectionはusingで閉じられるので、ここでは特に何もする必要はない
    // トランザクションオブジェクトもusingを使うか、Commit/Rollback後にnullチェックして明示的にDispose()を呼ぶことも可能だが、
    // コミットまたはロールバックされたトランザクションオブジェクトは再利用できないため、通常はdisposeされるのを待つか、明示的にdisposeする
    // BeginTransaction()が成功した場合、transactionは非nullになる
    if (transaction != null)
    {
         // 完全に安全を期すなら Dispose() も呼ぶが、usingブロックで囲めないため注意が必要
         // transaction.Dispose();
    }
}

} // SqlConnectionのusingブロック、接続が閉じられる
Console.WriteLine(“データベース接続を閉じました。”);
``SqlCommandのコンストラクタまたはTransactionプロパティにSqlTransaction` オブジェクトを渡すのを忘れないでください。これにより、そのコマンドは指定されたトランザクションのコンテキスト内で実行されます。

例外処理ブロック内で transaction.Rollback() を呼び出すことが、原子性を保証する上で非常に重要です。finally ブロックではなく catch ブロック内でロールバックするのは、例外が発生した場合のみロールバックしたいからです。

接続プーリング

データベースへの接続確立は、比較的コストの高い処理です（ネットワーク通信、認証など）。アプリケーションが頻繁にデータベース接続を開閉する場合、その都度接続を確立するのは効率が悪く、パフォーマンスのボトルネックとなり得ます。

接続プーリング (Connection Pooling) は、この問題を解決するための技術です。接続プーリングでは、アプリケーションが接続を閉じても、物理的なネットワーク接続自体はすぐには切断されず、プール（貯蔵庫）に保持されます。次に同じ接続文字列で接続要求があった場合、新しい接続を確立する代わりに、プールから既存の接続が再利用されます。これにより、接続確立のオーバーヘッドが削減され、アプリケーションのパフォーマンスとスケーラビリティが向上します。

ADO.NETでは、SQL Serverなどの多くのデータプロバイダーに対して、接続プーリングはデフォルトで有効になっています。開発者が明示的に何か特別なコードを書く必要はありません。

開発者が行うべきことは、接続を使い終わったら必ず Close() メソッドを呼び出すか、または必ず using ステートメントを使用することです。これにより、物理的な接続が切断されるのではなく、接続がプールに返却され、再利用可能な状態になります。接続を閉じ忘れると、接続リソースがプールに返却されず、プールが枯渇してしまい、新しい接続要求が拒否される原因となります（これは「接続リーク (Connection Leak)」と呼ばれます）。

接続文字列に特定のキーワードを含めることで、接続プーリングの挙動を制御することも可能です。

Pooling=True; または Pooling=False;: プーリングを有効/無効にします（デフォルトはTrue）。
Max Pool Size=100;: プールに保持できる最大接続数を指定します（デフォルトは100）。
Min Pool Size=0;: プールに常に保持しておく最小接続数を指定します（デフォルトは0）。
Connection Lifetime=0;: 接続がプールに返却されてから破棄されるまでの最大秒数。0は無期限（デフォルトは0）。
Load Balance Timeout=0;: 接続がプールから取得された後に、その接続がアイドル状態になってから破棄されるまでの秒数。0は無期限（デフォルトは0）。

ほとんどの場合、デフォルト設定で十分な効果が得られますが、高負荷なシステムなどではこれらの設定をチューニングすることがあります。

最も重要なポイントは、接続プーリングが有効であるため、接続は使い終わったらすぐに解放（Close() または using Dispose()）すべきであるということです。

より高度なADO.NETの機能（概要）

この記事の焦点は接続の基本とCRUD操作でしたが、ADO.NETには他にも様々な機能があります。

SqlDataAdapter, DataSet, DataTable: 非接続型アーキテクチャを実装するためのクラス群です。データベースから取得したデータをDataSet/DataTableに格納し、接続を閉じた状態でデータを操作できます。変更内容をまとめてデータベースに反映させる際にSqlDataAdapterのUpdateメソッドなどを使用します。
ストアドプロシージャの実行: データベースサーバー側で定義されたストアドプロシージャを実行できます。SQLコマンドのCommandTypeプロパティをCommandType.StoredProcedureに設定し、ストアドプロシージャ名を指定します。パラメータの扱い方は通常のパラメータ化クエリと同様です。ストアドプロシージャはビジネスロジックをデータベース側に寄せたり、ネットワークトラフィックを削減したり、セキュリティを向上させたりするのに役立ちます。
非同期処理: .NET Framework 4.5以降では、データベース操作を非同期で行うためのメソッド（OpenAsync, ExecuteReaderAsync, ExecuteNonQueryAsync など）が提供されています。これにより、データベース操作中にアプリケーションのUIがブロックされるのを防いだり、サーバーアプリケーションのスケーラビリティを向上させたりすることができます。async/awaitキーワードと組み合わせて使用します。
LINQ to SQL, Entity Framework: これらはADO.NETを基盤としたO/Rマッパー（Object-Relational Mapper）です。データベースのテーブルやリレーションをC#のクラスとしてマッピングし、SQL文を直接書く代わりにLINQクエリを使ってデータベースを操作できます。データベースアクセス層のコード量を削減し、生産性を向上させることができます。多くのモダンな.NETアプリケーション開発では、ADO.NETの生のAPIを直接使うよりも、これらのO/Rマッパーを使用することが推奨されています。しかし、O/Rマッパーも内部的にはADO.NETを使ってデータベースにアクセスしており、パフォーマンスチューニングや複雑なクエリ、特定のデータベース機能を利用する際には、ADO.NETの基本知識が役立ちます。

ベストプラクティスと注意点

安全で堅牢なデータベース連携アプリケーションを開発するためのベストプラクティスをいくつか紹介します。

接続文字列のセキュリティ: 接続文字列には機密情報（サーバー名、データベース名、ユーザー名、パスワード）が含まれる場合があります。コード内に直接書き込むのは避け、アプリケーションの構成ファイル（App.configやWeb.config）に保存し、必要に応じて暗号化やアクセス制限を行うべきです。Windows認証（Integrated Security=True）は、パスワードを接続文字列に含める必要がないため、可能であればSQL Server認証よりも推奨されます。
リソースの解放 (Dispose): SqlConnection, SqlCommand, SqlDataReader などの IDisposable オブジェクトは、使い終わったら必ず Dispose() を呼び出すか、または using ステートメントで囲むべきです。これにより、データベース接続やメモリなどのリソースが適切に解放され、接続リークやメモリリークを防ぐことができます。特にデータベース接続は有限なリソースであるため、解放忘れはアプリケーションの可用性に大きな影響を与えます。
エラー処理とログ記録: データベース操作は様々な理由で失敗する可能性があります（ネットワークエラー、権限エラー、制約違反、SQLエラーなど）。適切な try-catch ブロックを使い、SqlException などの例外を捕捉し、ユーザーに分かりやすいエラーメッセージを表示したり、詳細なエラー情報をログに記録したりすることが重要です。エラーログは問題の診断に不可欠です。
パフォーマンスに関する考慮事項:
- 接続の開閉: 必要なときに接続を開き、使い終わったらすぐに閉じるのが原則です。接続プーリングがこれを効率的に行ってくれます。
- SqlDataReader: 大量のデータを読み取る場合、一度に全てのデータをメモリにロードするのではなく、SqlDataReaderを使ってストリームとして読み取る方が効率的です。
- N+1問題: リスト表示などで、親データ一覧を取得した後に、各親データに対して子データを取得するクエリを繰り返し実行するのは非効率です（クエリがN+1回実行される）。可能であれば、JOINを使って一度のクエリで必要なデータを取得するようにSQLを最適化すべきです。
- 適切なインデックス: データベーステーブルに適切なインデックスを定義することで、SELECTクエリのパフォーマンスを劇的に向上させることができます。SSMSやSQL Serverのツールを使ってクエリプランを分析し、遅いクエリの原因を特定することが重要です。
- パラメータ化クエリ: 前述の通り、SQLインジェクション対策だけでなく、クエリプランの再利用にも寄与しパフォーマンスを向上させます。
SQLインジェクション対策の徹底: 外部からの入力値を使ってSQL文を組み立てる場合は、常にパラメータ化クエリを使用してください。これは最も基本的な、そして最も重要なセキュリティ対策の一つです。
トランザクションの適切な利用: 複数の関連するデータベース操作を行う場合は、データの一貫性を保つためにトランザクションを適切に利用してください。

まとめ

この記事では、C#アプリケーションからSQL Serverデータベースへ接続し、基本的なデータ操作を行うためのADO.NETの基本的な使い方を詳細に解説しました。

データベース接続の前提として、リレーショナルデータベースとSQLの基本、そして接続文字列の概念を理解しました。
開発環境としてVisual Studio, SQL Server Express, SSMSの準備と、サンプルデータベースの作成方法を確認しました。
ADO.NETの概要と、System.Data.SqlClient 名前空間の主要なクラス（SqlConnection, SqlCommand, SqlDataReader, SqlParameter, SqlTransaction）の役割を学びました。
SqlConnection を使った基本的な接続方法、特に using ステートメントを使ったリソース管理の重要性を学びました。
SqlCommand と ExecuteReader()、SqlDataReader を使ったデータの取得（SELECT）方法を実践しました。
SqlCommand と ExecuteNonQuery() を使ったデータの追加（INSERT）、更新（UPDATE）、削除（DELETE）方法を学びました。
SQLインジェクションの危険性と、それを防ぐためのパラメータ化クエリの使い方を強調しました。
SqlTransaction を使ったトランザクションの基本と、複数操作の一貫性を保つ方法を学びました。
接続プーリングの概念と、ADO.NETで自動的に利用されること、そして接続を適切に解放することの重要性を理解しました。
最後に、データベース連携におけるベストプラクティスと注意点（セキュリティ、リソース管理、エラー処理、パフォーマンス、SQLインジェクション対策）を確認しました。

ADO.NETは非常に強力で柔軟なデータアクセス技術ですが、そのAPIは低レベルであり、多くのコードを記述する必要があります。より大規模なアプリケーションや複雑なデータモデルを扱う場合は、Entity FrameworkのようなO/Rマッパーの利用を検討する価値があります。しかし、Entity Frameworkなども内部的にはADO.NETの上に構築されているため、ADO.NETの基本的な概念と動作を理解していることは、O/Rマッパーを効果的に使用し、パフォーマンス問題を診断する上で非常に役立ちます。

この記事で学んだ知識は、C#からSQL Serverへのデータベースアクセスを始めるための強固な基盤となるはずです。ぜひ実際にコードを書いて動かし、ADO.NETの世界に慣れていってください。

Happy Coding!