---------------------- Windows Phone 7手机开发、.Net培训、期待与您交流! ----------------------
神奇代码:用来判断所要操作的数据库文件,默认是在debug文件夹下,如果加上下面这段代码就会操作项目中的数据库文件
string dataDir = AppDomain.CurrentDomain.BaseDirectory;
if (dataDir.EndsWith(@"\bin\Debug\")
|| dataDir.EndsWith(@"\bin\Release\"))
{
dataDir = System.IO.Directory.GetParent(dataDir).Parent.Parent.FullName;
AppDomain.CurrentDomain.SetData("DataDirectory",dataDir);
}
原理简单分析:连接字符串中的DataDirectory的值就是通过AppDomain.CurrentDomain.SetData赋值过去的,如果当前程序的目录以"\bin\Debug\"或者"\bin\Release\"则认为它是运行在VisualStudio环境中,就取项目的目录然后赋值给DataDirectory这个key。既然是CurrentDomain.SetData,估计对于非默认AppDomain中的数据库连接代码可能会不起作用(只是猜测,没验证),这就要需要创建子AppDomain的时候再去赋值了。
详细请看:http://www.rupeng.com/forum/thread-11988-1-1.html
数据库的连接执行方法:
- ADO.NET中通过SqlConnection类创建SQLServer的连接
- ADO.NET中的连接等资源都实现 了IDisposable接口,可以使用using进行资源管理。
- ExecuteNonQuery():执行非查询语句
- SqlCommand的ExecuteScalar方法用于执行查询,并返回查询所返回的结果集中第一行的第一列,返回值是object类型。
- ExecuteReader:执行有多行结果集。Reader的GetStrinGetIn32等方法只接受整数参数,也就是序号,用GetOrdinal方法根据列名动态得到序号:reader.GetOrdinal("UserName")
- GetString、GetInt32后跟列的序号
SqlDataReader reader = cmd.ExecuteReader();//reader里包含的是一个结果集
while (reader.Read())
{
Console.WriteLine(reader.GetString(reader.GetOrdinal("UserName")));
}
为什么用Using:Close:关闭之后还能打开。Dispos:直接销毁,不能再次使用。Using在出了作用域之后调用Dispose,SqlConnection、FileStream等的Dispose,内部都会做这样的判断:判断有没有close,如果没有Close就先Close再Dispose。
注入漏洞与参数化查询:
cmd.CommandText = "select count(*) from T_Users where UserName='"+username+"' and Password='"+password+"'"; / / 当username和password存在数据库时返回结果集的行数
这种查询语句是存在漏洞的,当用户名密码输入正确时,就登陆成功。当密码输入1' or '1'='1时也可以登录成功,假如用户名为Admin,密码输入端是1' or '1'='1,拼出的SQL语句是select count(*) from T_Users where UserName='Admin' and Password='1' or '1'='1',此时where过滤条件为true,就可以过滤出所有数据,着用就相当危险。避免方法就可以用参数化查询:
cmd.CommandText = "select count(*) from T_Users where UserName=@UN and Password=@P";
cmd.Parameters.Add(new SqlParameter("UN",username));
cmd.Parameters.Add(new SqlParameter("P",password));
参数化查询不是简单的字符串拼接,而是将输入的字段同数据库里的字段相比较,这样就避免了漏洞攻击。
---------------------- Windows Phone 7手机开发、.Net培训、期待与您交流! ----------------------