黑马程序员_ADO.NET数据库连接

---------------------- Windows Phone 7手机开发.Net培训、期待与您交流! ----------------------

神奇代码用来判断所要操作的数据库文件,默认是在debug文件夹下,如果加上下面这段代码就会操作项目中的数据库文件

            string dataDir = AppDomain.CurrentDomain.BaseDirectory;

            if (dataDir.EndsWith(@"\bin\Debug\")

               || dataDir.EndsWith(@"\bin\Release\"))

            {

                dataDir = System.IO.Directory.GetParent(dataDir).Parent.Parent.FullName;

                AppDomain.CurrentDomain.SetData("DataDirectory",dataDir);

            }

原理简单分析:连接字符串中的DataDirectory的值就是通过AppDomain.CurrentDomain.SetData赋值过去的,如果当前程序的目录以"\bin\Debug\"或者"\bin\Release\"则认为它是运行在VisualStudio环境中,就取项目的目录然后赋值给DataDirectory这个key。既然是CurrentDomain.SetData,估计对于非默认AppDomain中的数据库连接代码可能会不起作用(只是猜测,没验证),这就要需要创建子AppDomain的时候再去赋值了。

详细请看:http://www.rupeng.com/forum/thread-11988-1-1.html

 

数据库的连接执行方法:

  •  ADO.NET中通过SqlConnection类创建SQLServer的连接
  •  ADO.NET中的连接等资源都实现 了IDisposable口,可以使用using进行资源管理。
  •  ExecuteNonQuery():执行非查询语句
  •  SqlCommandExecuteScalar方法用于执行查询,并返回查询所返回的结果集中第一行的第一列,返回值是object类型。
  •  ExecuteReader:执行有多行结果集。ReaderGetStrinGetIn32等方法只接受整数参数,也就是序号,用GetOrdinal方法根据列名动态得到序号:reader.GetOrdinal("UserName")
  • GetString、GetInt32后跟列的序号

SqlDataReader reader = cmd.ExecuteReader();//reader里包含的是一个结果集

while (reader.Read())

{

Console.WriteLine(reader.GetString(reader.GetOrdinal("UserName")));

}

为什么用UsingClose:关闭之后还能打开。Dispos:直接销毁,不能再次使用。Using在出了作用域之后调用DisposeSqlConnectionFileStream等的Dispose,内部都会做这样的判断:判断有没有close,如果没有Close就先CloseDispose

注入漏洞与参数化查询:

cmd.CommandText = "select count(*) from T_Users where UserName='"+username+"' and Password='"+password+"'"; / / usernamepassword存在数据库时返回结果集的行数

这种查询语句是存在漏洞的,当用户名密码输入正确时,就登陆成功。当密码输入1' or '1'='1时也可以登录成功,假如用户名为Admin,密码输入端是1' or '1'='1,拼出的SQL语句是select count(*) from T_Users where UserName='Admin' and Password='1' or '1'='1'此时where过滤条件为true,就可以过滤出所有数据,着用就相当危险。避免方法就可以用参数化查询:

cmd.CommandText = "select count(*) from T_Users where UserName=@UN and Password=@P";

cmd.Parameters.Add(new SqlParameter("UN",username));

cmd.Parameters.Add(new SqlParameter("P",password));

参数化查询不是简单的字符串拼接,而是将输入的字段同数据库里的字段相比较,这样就避免了漏洞攻击。

 

 

 

 

 

---------------------- Windows Phone 7手机开发.Net培训、期待与您交流! ----------------------

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值