C#数据库教程3-ADO.NET其它优化功能

已于 2022-04-22 00:00:34 修改
阅读量472 收藏 3
点赞数 1
分类专栏: C# ADO.NET 文章标签: sqlserver c# ADO.NET
于 2022-04-16 17:17:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/panjinliang066333/article/details/124206496
版权
C# 同时被 2 个专栏收录
30 篇文章 19 订阅
订阅专栏
ADO.NET
8 篇文章 3 订阅
订阅专栏

目录

一、数据库语句注入漏洞

1、普通sql语句方式查询

2、防注入漏洞的SQL查询

二、DataSet离线数据集

三、连接字符串放到配置文件中

1、配置文件添加和编辑

 2、配置文件字符串在程序中使用

 工程代码

一、数据库语句注入漏洞

以查询语句举例,在textbox文本框中输入查询内容执行数据库查询。

1、普通sql语句方式查询

代码:

        private void btnSqlRead1_Click(object sender, EventArgs e)
        {
            try
            {
                //SqlConnection为建立和数据库连接得对象
                using (SqlConnection conn = new SqlConnection("Data Source=127.0.0.1; Initial Catalog=MyTest;User=sa;Password=54085408"))
                {
                    conn.Open();    //打开连接
                    //通过连接创建一个向数据数据库发送命令(Command)得对象SqlCommand
                    using (SqlCommand cmd = conn.CreateCommand())
                    {
                        //CommandText为要执行得sql语句
                        //cmd.CommandText = "select Age from tbl_student where Name='pan'";
                        cmd.CommandText = "select Age from tbl_student where Name='" + txtSqlInput.Text + "'";
                        using (SqlDataReader rd = cmd.ExecuteReader())
                        {
                            while (rd.Read())
                            {
                                int age = rd.GetInt32(0);                                                 
                                MessageBox.Show( age.ToString());
                            }
                        }
                    }
                }
            }
            catch { }
        }

界面

数据库

测试1:输入正常得查询字符

普通sql语句是怎么造成数据注入漏洞得

输入:pan

测试2:输入特殊得拼接字符

输入 :1' or '1'='1

发现将每一个结果都显示出来

 原因:输入得1' or '1'='1字符和程序内部得SQL语句拼接形成了SQL语句,使用断点调试发现新得SQL语句变为:select Age from tbl_student where Name=' 1' or '1'='1'

 因为or '1'='1'条件始终满足,所以while条件一直都满足,因此把数据库中所以得数据都查询了出来。

2、防注入漏洞的SQL查询

方法:将要查询的字段的使用符号 @。(数据库的表名、字段名或者其它特殊的在sql语句或者select旁边的字段也不能使用@)

代码

private void btnSqlRead2_Click(object sender, EventArgs e)
        {
            try
            {
                //SqlConnection为建立和数据库连接得对象
                using (SqlConnection conn = new SqlConnection("Data Source=127.0.0.1; Initial Catalog=MyTest;User=sa;Password=54085408"))
                {
                    conn.Open();    //打开连接
                    //通过连接创建一个向数据数据库发送命令(Command)得对象SqlCommand
                    using (SqlCommand cmd = conn.CreateCommand())
                    {
                        //CommandText为要执行得sql语句      
                        //cmd.CommandText = "select Age from tbl_student where Name=@name or Age>@age";
                        //cmd.Parameters.Add(new SqlParameter("@age", 100));

                        //cmd.Parameters.AddWithValue("@name", txtSqlInput2.Text);
                        cmd.CommandText = "select Age from tbl_student where Name=@name";                        
                        cmd.Parameters.Add(new SqlParameter("@name", txtSqlInput2.Text));
                        using (SqlDataReader rd = cmd.ExecuteReader())
                        {
                            while (rd.Read())
                            {
                                int age = rd.GetInt32(0);
                                MessageBox.Show(age.ToString());
                            }
                        }
                    }
                }
            }
            catch { }
        }

界面

 数据库

 测试

(1)输入1' or '1'='1,查询不再将数据库中数据弹出

(2)输入pan,查询出结果

其它语句如:

insert into ......  values(@name,@age)

delete .......where Id=@id

二、DataSet离线数据集

SqlDataReader是连接相关的,SqlDataReader中的查询结果并不是放到程序中的,而是在数据库服务器中,SqlDataReader只是相当于放了一个指针(游标),只能读取当前游标指向的行,一旦连接断开就不能再读取。这样做的好处就是无论查询结果有多少条,对程序占用的内存都几乎没有影响。

SqlDataReader对于小数据量的数据来说带来的只有麻烦。ADO.NET中提供了数据集的机制,将查询结果填充到本地内存中,这样连接断开、服务器断开都不影响数据的读取。数据集的好处是降低数据库服务器压力、编程也简单。

测试代码:

        private void btnDataSetRead_Click(object sender, EventArgs e)
        {
            try
            {
                 //SqlConnection为建立和数据库连接得对象
                using (SqlConnection conn = new SqlConnection("Data Source=127.0.0.1; Initial Catalog=MyTest;User=sa;Password=54085408"))
                {
                    conn.Open();    //打开连接
                    //通过连接创建一个向数据数据库发送命令(Command)得对象SqlCommand
                    using (SqlCommand cmd = conn.CreateCommand())
                    {
                        cmd.CommandText = "select * from tbl_student where Age<@age";
                        cmd.Parameters.Add(new SqlParameter("@age", 100));

                        //SqlDataAdapter是一个帮我们把SqlCommand查询结果填充到DataSet中的类
                        SqlDataAdapter adapter = new SqlDataAdapter(cmd);
                        //DataSet相当于本地的一个复杂集合List<...>
                        DataSet dataset = new DataSet();
                        adapter.Fill(dataset);      //执行cmd,并且把SqlCommand查询结果填充到DataSet

                        DataTable table = dataset.Tables[0];            //dataset可以有很多个表
                        DataRowCollection rows = table.Rows;
                        for(int i=0;i<rows.Count;i++)
                        {
                            DataRow row = rows[i];
                            int age = (int)row["Age"];
                            string name = (string)row["Name"];
                            string comment = (string)row["Comment"];
                            MessageBox.Show(name + "," + age.ToString() + "," + comment);
                        }
                    }
                }
            }
            catch { }
        }

数据库数据

程序运行测试

依次跳出各个查询结果

三、连接字符串放到配置文件中

1、配置文件添加和编辑

 将连接数据库的用户名、密码、数据库ip地址等放到配置文件中,方便用户在使用的时候方便修改。新创建的winform程序中自动添加App.config文件。如果没有的话,手动添加。

 (1)手动添加配置文件

(2)双击打开配置文件

(3)修改配置文件,编译运行。

(4) 用户在使用时,在根目录下打开配置文件修改

(4) 修改程序工程中的,工程之间复制或者拷贝。然后工程再重新编译、生成

 2、配置文件字符串在程序中使用

(1)在引用中添加程序集System.Configuration

 (2)添加按钮事件程序,将配置文件中的字符串读出来

程序

using System.Configuration;

        private void btnTestConnectString_Click(object sender, EventArgs e)
        {
            string connString = ConfigurationManager.ConnectionStrings["dbConnstr"].ConnectionString;
            MessageBox.Show(connString);
        }

运行结果

 (3)修改上一个DataSet程序

修改前代码

         private void btnDataSetRead_Click(object sender, EventArgs e)
        {
            try
            {
                 //SqlConnection为建立和数据库连接得对象
                using (SqlConnection conn = new SqlConnection("Data Source=127.0.0.1; Initial Catalog=MyTest;User=sa;Password=54085408"))
                {
                    conn.Open();    //打开连接
                    //通过连接创建一个向数据数据库发送命令(Command)得对象SqlCommand
                    using (SqlCommand cmd = conn.CreateCommand())
                    {
                        cmd.CommandText = "select * from tbl_student where Age<@age";
                        cmd.Parameters.Add(new SqlParameter("@age", 100));

                        //SqlDataAdapter是一个帮我们把SqlCommand查询结果填充到DataSet中的类
                        SqlDataAdapter adapter = new SqlDataAdapter(cmd);
                        //DataSet相当于本地的一个复杂集合List<...>
                        DataSet dataset = new DataSet();
                        adapter.Fill(dataset);      //执行cmd,并且把SqlCommand查询结果填充到DataSet

                        DataTable table = dataset.Tables[0];            //dataset可以有很多个表
                        DataRowCollection rows = table.Rows;
                        for(int i=0;i<rows.Count;i++)
                        {
                            DataRow row = rows[i];
                            int age = (int)row["Age"];
                            string name = (string)row["Name"];
                            string comment = (string)row["Comment"];
                            MessageBox.Show(name + "," + age.ToString() + "," + comment);
                        }
                    }
                }
            }
            catch { }
        }

修改后代码

        private void btnTestConnectString_Click(object sender, EventArgs e)
        {            
            try
            {
                string connString = ConfigurationManager.ConnectionStrings["dbConnstr"].ConnectionString;
                //SqlConnection为建立和数据库连接得对象
                using (SqlConnection conn = new SqlConnection(connString))
                {
                    conn.Open();    //打开连接
                    //通过连接创建一个向数据数据库发送命令(Command)得对象SqlCommand
                    using (SqlCommand cmd = conn.CreateCommand())
                    {
                        cmd.CommandText = "select * from tbl_student where Age<@age";
                        cmd.Parameters.Add(new SqlParameter("@age", 100));

                        //SqlDataAdapter是一个帮我们把SqlCommand查询结果填充到DataSet中的类
                        SqlDataAdapter adapter = new SqlDataAdapter(cmd);
                        //DataSet相当于本地的一个复杂集合List<...>
                        DataSet dataset = new DataSet();
                        adapter.Fill(dataset);      //执行cmd,并且把SqlCommand查询结果填充到DataSet

                        DataTable table = dataset.Tables[0];            //dataset可以有很多个表
                        DataRowCollection rows = table.Rows;
                        for (int i = 0; i < rows.Count; i++)
                        {
                            DataRow row = rows[i];
                            int age = (int)row["Age"];
                            string name = (string)row["Name"];
                            string comment = (string)row["Comment"];
                            MessageBox.Show(name + "," + age.ToString() + "," + comment);
                        }
                    }
                }
            }
            catch { }

        }

 测试

将生成的Debug程序拷贝到虚拟机中的win7系统环境下运行,config中修改ip地址

 工程代码

https://download.csdn.net/download/panjinliang066333/85153786

创作不易,请多多支持

Big_潘大师
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ado.net性能优化
01-22
性能优化,如何优化啊!加速、提高网站的效率等等!
C#连接数据库优化
qq_44975431的博客
04-11 208
数据库需要重复连接的解决方案 1.修改App.config配置文件 <connectionStrings> <add name="connStr" connectionString="data source=localhost;database=studentdb;user id=root;password=admin;charset=utf8" providerName="MySql.Data.MySqlClient"/> </connection
运用 ADO.NET 对象优化数据查询代码
willsound的专栏
07-15 1113
 毫无疑问,ADO.NET 向人们提供了一种功能强大、仿真数据库的对象模型,它可以将数据记录保存到内存中。尤其是ADO.NET 的 DataSet 类,它不但在功能上相当于数据库表的集中存储器(central repository),而且支持表间的各种约束和逻辑关系。进一步说来,DataSet 对象其实是一种离线数据容器。 乍一看,只要把 DataSet 类的所有特性联
C# 数据库连接池 的使用 可以优化数据库
Sunqlive的博客
09-22 2753
using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Data.SqlClient; using System.Diagnostics; namespace _02ConnectionpoolTest {     class Pro
C#数据库优化
最新发布
weixin_68436326的博客
10-02 90
数据库优化是指通过调整数据库结构、查询语句、索引等,以提高数据库性能和效率的过程。以下是一些常见的数据库优化方法:1. 规范化数据库结构规范化是指将数据库结构中的每个数据表都设计为一个独立的实体,避免重复存储相同的数据。这样可以减少数据冗余,降低数据更新时的复杂度,提高查询效率。2. 设计合适的索引索引是数据库中用于加速查询的数据结构。在设计索引时,需要考虑经常使用的查询条件和排序方式,并考虑索引...
C#数据库教程2-ADO.NET常用SQL语句
04-15
1、ExecuteNonQuery插入SQL数据 2、ExecuteScalar查询SQL语句 3、插入数据后,查询 ID,获得自增字段的值 4、ExecuteReader执行查询
C#数据库教程5-ADO.NET登录页面设计
04-21
C#数据库教程5-ADO.NET登录页面设计 1、用户功能设计 2、数据库设计
C#数据库教程6-ADO.NET用户数据导入数据库的几种类型
05-09
一、文本数据导入数据库 二、省市县数据查询 三、手机号码导入数据库
数据库课程设计-基于ADO.NET的简易学生信息管理系统
11-30
这是一个基于ADO.NET和WinForm编写的图形化简易学生信息管理系统。包含了对数据库的增删查改四大基本操作,同时实现了动态备份和恢复整个数据库,便于挽回数据损失。该项目足以应付计算机专业本科生数据库课程设计和...
C# SQLite执行效率的优化教程
12-31
关于SQLite SQLite是一款轻型的嵌入式的遵守ACID的关系型数据库管理系统,诞生已有15个年头了。随着移动互联的发展,现在得到了更广泛的使用。 在使用SQLite之前,我们势必要先了解它一些“个性”的地方。下面是它的一些特点: 1、 自包含。SQLite很大层度上是独立的,他只需要非常小的外部库支持。任何程序能够访问磁盘就可以使用SQLite数据库。这使它适用于嵌入式设备,缺乏桌面计算机支持的基础设施。这也使得SQLite适用于不作任何修改就可运行在不同配置电脑上的程序。 2、 无服务器。大多数SQL数据库引擎被实现为一个单独的服务器进程。程序要访问数据库与服务器通信使用某种形式的
c#操作数据库,史上最牛逼的方法,你见过这种方法吗?
01-26
前面做项目,有数据库操作太慢。 而且,有一些新的程序员,他们对数据库操作的经验比较欠缺, 而且,.net需要学的东西就非常多,涵盖很多,还要程序员精通数据库,就更加麻烦,没有好多年的经验, 操作数据库的,一检查就有很多问题。所以,根据需要,我就找到了这个 简单的,高效,快速,方便的 .net数据库操作方案。非常直观。不需要懂数据库都能开发了。 找了好久,总算找到了,分享给大家。 ---------------------------- ------------------------------ SqLamdalf1.0 ----------================-----------================--------- .net数据库最佳操作类。 无缝衔接sql server和.net。 不需要为操作数据库再话费大量的开发时间,节约开发成本,以及更高效,更快速,更方便。 以后将陆续支持更多的数据库。 ----------================-----------================--------- SqLamdalf1.0免费版,欢迎使用。 使用方法: 双击setup.exe 安装以后。 桌面会出现 SqLamdalf 然后直接添加到需要的程序引用中,就可以使用了。 ============================================================== 调用方法: using SqlLamdalf; //工厂方法建立连接字符串 SqlLamdalf.FactoryAnna factorySql = new SqlLamdalf.FactoryAnna(AnnaType.SqlServer, "Persist Security Info=False;Integrated Security=SSPI;Database=数据库名称;Server=sql服务器名称"); //对需要的表的对象建立对象Sql。下面例子中为两个表,目前已经支持9个表: var Sql = factorySql.Create(); //目前支持返回 1实体类Sql.ExecuteEntity,2实体类列表,3表格,4字符串,5int var sdfsf123 = Sql.ExecuteList((a, b) => Sub.Top(8).Select(a.UserId, a.UserName).From(a) ); //目前支持返回 1实体类Sql.ExecuteEntity,2实体类列表,3表格,4字符串,5int var sdfsf123 = Sql.ExecuteList((a, b) => Sub.Top(8).Select(a.UserId, a.UserName).From(a) ); //分页查询如下,注意OrderBy免费版请取消 DataTable dtUser = Sql.ExecuteDataTable((a, b) => Sub.PageSize(12).PageIndex(2).Select(a.UserId.As("ID号"), a.UserName.As("名字")).From(a).OrderBy(a.CreateDate.Desc()) ); //如需执行多条语句,请在语句后面加上Next() var sdfsf1113 = Sql.ExecuteList((a, b) => Sub.Insert(a).Values("213", "111", 11, "2012-02-02"). Next(). Select("213", "111", 11, "2012-02-02").From(a).Where(a.UserId == 123123) ); //下面是联结方式的多表查询,支持各种联结查询,&&意味and,LikeLeft意为Like '%name',LikeRight var sdfsf21 = Sql.ExecuteNonQuery((a, b) => Sub.Update(a).Set(a.RoleId == u1.RoleId, a.LoginPassword == irod.ToString(), a.UserName == "2").From(a). InnerJoin(b).On(a.UserId == b.CategoryId) .Where(a.UserId == 1 && (a.UserName + "123").LikeLeft(u1.UserName)) );
基于.net_的大数据量SQL_SERVER_系统_数据库和代码_优化方案
09-18
基于.net_的大数据量SQL_SERVER_系统_数据库和代码_优化方案
C#sqlbulkcopy的优化
weixin_30677617的博客
01-25 234
最近在进行项目的优化。现在部分数据的拷贝时间过长。需要进行上线前的优化,尝试,批次的数量和拷贝次数的之间的合理数值关系。 最近项目中使用到了SqlBulkCopy实现批量复制,在这里,我把部分代码筛选出来简单说明一下,希望对大家研究和使用SqlBulkCopy 有帮助.因为是筛选的代码,不是完整的方法,请大家尽量不要直接拷贝使用,这篇文章的目的上帮大家简单的理解SqlBulkCopy. /**...
关于ADO.Net SqlConnection的性能优化
weixin_33860147的博客
06-28 296
Connections Database connections are an expensive and limited resource. Your approach to connection management can significantly affect the overall performance and scalability of your application. Is...
c#缓存机制,用于大批量连接数据库的性能优化,可减少对数据库的消耗。
__如影
07-04 1224
ADO.Net使用方面优化
朩冰雲的专栏
12-30 870
 1.数据库连接打开和关闭。 在需要连接时打开,当访问完数据库要立刻关闭连接.       举例说明,还是看两个代码段:      I.           DataSet ds = new DataSet();           SqlConnection MyConnection = new SqlConnection("server=localhost; uid=s
C#提升性能"数据库连接打开与关闭"经验分享(附:优化过的DBHelper类) 之配餐系统的开发
mituan1234567的专栏
01-05 935
http://www.cnblogs.com/know/archive/2011/03/10/1979751.html 做程序开发到现在已有三年多的时间了,先不说技术已达到了什么样的一个水平,就对自己熟悉或比较精通的技术等——感觉需要再继续深究或清楚其如何用好(提升性能)的东西还不少[简单的说:就是有些自认为懂的技术,其实未必真懂,了解的可能只是部分或不是合适的用法]。这篇文章要说就是——对
ADO.NET性能优化方面的总结
风往哪吹~
03-18 887
1、 应用Ado.net的一些思考原则a)      根据数据使用的方式来设计数据访问层;b)      缓存数据,避免不必要的操作;c)      使用服务帐户进行连接;d)      必要时申请资源,尽早释放资源;e)      关闭可关闭的资源;f)      减少数据往返;g)      仅返回需要的数据;h)      选择适当的事务类型;i)    
C#ADO.NET 案例----增删改查的小管理窗口,数据库用MySQL连接
06-07
好的,如果要使用 MySQL 连接数据库,可以按照以下步骤进行: ...以上就是一个简单的 C# ADO.NET 增删改查小管理窗口连接 MySQL 数据库的实现过程。同样需要注意异常处理、数据验证等问题。希望对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Big_潘大师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值