C#数据库教程3-ADO.NET其它优化功能

已于 2022-04-22 00:00:34 修改
阅读量488 收藏 3
点赞数 1
分类专栏: C# ADO.NET
于 2022-04-16 17:17:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/panjinliang066333/article/details/124206496
版权

SQL注入 参数化查询 DataSet 配置文件 数据库连接
关键词由CSDN通过智能技术生成
C# 同时被 2 个专栏收录
32 篇文章 19 订阅
订阅专栏
ADO.NET
8 篇文章 3 订阅
订阅专栏

目录

一、数据库语句注入漏洞

1、普通sql语句方式查询

2、防注入漏洞的SQL查询

二、DataSet离线数据集

三、连接字符串放到配置文件中

1、配置文件添加和编辑

 2、配置文件字符串在程序中使用

 工程代码

一、数据库语句注入漏洞

以查询语句举例,在textbox文本框中输入查询内容执行数据库查询。

1、普通sql语句方式查询

代码:

        private void btnSqlRead1_Click(object sender, EventArgs e)
        {
            try
            {
                //SqlConnection为建立和数据库连接得对象
                using (SqlConnection conn = new SqlConnection("Data Source=127.0.0.1; Initial Catalog=MyTest;User=sa;Password=54085408"))
                {
                    conn.Open();    //打开连接
                    //通过连接创建一个向数据数据库发送命令(Command)得对象SqlCommand
                    using (SqlCommand cmd = conn.CreateCommand())
                    {
                        //CommandText为要执行得sql语句
                        //cmd.CommandText = "select Age from tbl_student where Name='pan'";
                        cmd.CommandText = "select Age from tbl_student where Name='" + txtSqlInput.Text + "'";
                        using (SqlDataReader rd = cmd.ExecuteReader())
                        {
                            while (rd.Read())
                            {
                                int age = rd.GetInt32(0);                                                 
                                MessageBox.Show( age.ToString());
                            }
                        }
                    }
                }
            }
            catch { }
        }

界面

数据库

测试1:输入正常得查询字符

普通sql语句是怎么造成数据注入漏洞得

输入:pan

测试2:输入特殊得拼接字符

输入 :1' or '1'='1

发现将每一个结果都显示出来

 原因:输入得1' or '1'='1字符和程序内部得SQL语句拼接形成了SQL语句,使用断点调试发现新得SQL语句变为:select Age from tbl_student where Name=' 1' or '1'='1'

 因为or '1'='1'条件始终满足,所以while条件一直都满足,因此把数据库中所以得数据都查询了出来。

2、防注入漏洞的SQL查询

方法:将要查询的字段的使用符号 @。(数据库的表名、字段名或者其它特殊的在sql语句或者select旁边的字段也不能使用@)

代码

private void btnSqlRead2_Click(object sender, EventArgs e)
        {
            try
            {
                //SqlConnection为建立和数据库连接得对象
                using (SqlConnection conn = new SqlConnection("Data Source=127.0.0.1; Initial Catalog=MyTest;User=sa;Password=54085408"))
                {
                    conn.Open();    //打开连接
                    //通过连接创建一个向数据数据库发送命令(Command)得对象SqlCommand
                    using (SqlCommand cmd = conn.CreateCommand())
                    {
                        //CommandText为要执行得sql语句      
                        //cmd.CommandText = "select Age from tbl_student where Name=@name or Age>@age";
                        //cmd.Parameters.Add(new SqlParameter("@age", 100));

                        //cmd.Parameters.AddWithValue("@name", txtSqlInput2.Text);
                        cmd.CommandText = "select Age from tbl_student where Name=@name";                        
                        cmd.Parameters.Add(new SqlParameter("@name", txtSqlInput2.Text));
                        using (SqlDataReader rd = cmd.ExecuteReader())
                        {
                            while (rd.Read())
                            {
                                int age = rd.GetInt32(0);
                                MessageBox.Show(age.ToString());
                            }
                        }
                    }
                }
            }
            catch { }
        }

界面

 数据库

 测试

(1)输入1' or '1'='1,查询不再将数据库中数据弹出

(2)输入pan,查询出结果

其它语句如:

insert into ......  values(@name,@age)

delete .......where Id=@id

二、DataSet离线数据集

SqlDataReader是连接相关的,SqlDataReader中的查询结果并不是放到程序中的,而是在数据库服务器中,SqlDataReader只是相当于放了一个指针(游标),只能读取当前游标指向的行,一旦连接断开就不能再读取。这样做的好处就是无论查询结果有多少条,对程序占用的内存都几乎没有影响。

SqlDataReader对于小数据量的数据来说带来的只有麻烦。ADO.NET中提供了数据集的机制,将查询结果填充到本地内存中,这样连接断开、服务器断开都不影响数据的读取。数据集的好处是降低数据库服务器压力、编程也简单。

测试代码:

        private void btnDataSetRead_Click(object sender, EventArgs e)
        {
            try
            {
                 //SqlConnection为建立和数据库连接得对象
                using (SqlConnection conn = new SqlConnection("Data Source=127.0.0.1; Initial Catalog=MyTest;User=sa;Password=54085408"))
                {
                    conn.Open();    //打开连接
                    //通过连接创建一个向数据数据库发送命令(Command)得对象SqlCommand
                    using (SqlCommand cmd = conn.CreateCommand())
                    {
                        cmd.CommandText = "select * from tbl_student where Age<@age";
                        cmd.Parameters.Add(new SqlParameter("@age", 100));

                        //SqlDataAdapter是一个帮我们把SqlCommand查询结果填充到DataSet中的类
                        SqlDataAdapter adapter = new SqlDataAdapter(cmd);
                        //DataSet相当于本地的一个复杂集合List<...>
                        DataSet dataset = new DataSet();
                        adapter.Fill(dataset);      //执行cmd,并且把SqlCommand查询结果填充到DataSet

                        DataTable table = dataset.Tables[0];            //dataset可以有很多个表
                        DataRowCollection rows = table.Rows;
                        for(int i=0;i<rows.Count;i++)
                        {
                            DataRow row = rows[i];
                            int age = (int)row["Age"];
                            string name = (string)row["Name"];
                            string comment = (string)row["Comment"];
                            MessageBox.Show(name + "," + age.ToString() + "," + comment);
                        }
                    }
                }
            }
            catch { }
        }

数据库数据

程序运行测试

依次跳出各个查询结果

三、连接字符串放到配置文件中

1、配置文件添加和编辑

 将连接数据库的用户名、密码、数据库ip地址等放到配置文件中,方便用户在使用的时候方便修改。新创建的winform程序中自动添加App.config文件。如果没有的话,手动添加。

 (1)手动添加配置文件

(2)双击打开配置文件

(3)修改配置文件,编译运行。

(4) 用户在使用时,在根目录下打开配置文件修改

(4) 修改程序工程中的,工程之间复制或者拷贝。然后工程再重新编译、生成

 2、配置文件字符串在程序中使用

(1)在引用中添加程序集System.Configuration

 (2)添加按钮事件程序,将配置文件中的字符串读出来

程序

using System.Configuration;

        private void btnTestConnectString_Click(object sender, EventArgs e)
        {
            string connString = ConfigurationManager.ConnectionStrings["dbConnstr"].ConnectionString;
            MessageBox.Show(connString);
        }

运行结果

 (3)修改上一个DataSet程序

修改前代码

         private void btnDataSetRead_Click(object sender, EventArgs e)
        {
            try
            {
                 //SqlConnection为建立和数据库连接得对象
                using (SqlConnection conn = new SqlConnection("Data Source=127.0.0.1; Initial Catalog=MyTest;User=sa;Password=54085408"))
                {
                    conn.Open();    //打开连接
                    //通过连接创建一个向数据数据库发送命令(Command)得对象SqlCommand
                    using (SqlCommand cmd = conn.CreateCommand())
                    {
                        cmd.CommandText = "select * from tbl_student where Age<@age";
                        cmd.Parameters.Add(new SqlParameter("@age", 100));

                        //SqlDataAdapter是一个帮我们把SqlCommand查询结果填充到DataSet中的类
                        SqlDataAdapter adapter = new SqlDataAdapter(cmd);
                        //DataSet相当于本地的一个复杂集合List<...>
                        DataSet dataset = new DataSet();
                        adapter.Fill(dataset);      //执行cmd,并且把SqlCommand查询结果填充到DataSet

                        DataTable table = dataset.Tables[0];            //dataset可以有很多个表
                        DataRowCollection rows = table.Rows;
                        for(int i=0;i<rows.Count;i++)
                        {
                            DataRow row = rows[i];
                            int age = (int)row["Age"];
                            string name = (string)row["Name"];
                            string comment = (string)row["Comment"];
                            MessageBox.Show(name + "," + age.ToString() + "," + comment);
                        }
                    }
                }
            }
            catch { }
        }

修改后代码

        private void btnTestConnectString_Click(object sender, EventArgs e)
        {            
            try
            {
                string connString = ConfigurationManager.ConnectionStrings["dbConnstr"].ConnectionString;
                //SqlConnection为建立和数据库连接得对象
                using (SqlConnection conn = new SqlConnection(connString))
                {
                    conn.Open();    //打开连接
                    //通过连接创建一个向数据数据库发送命令(Command)得对象SqlCommand
                    using (SqlCommand cmd = conn.CreateCommand())
                    {
                        cmd.CommandText = "select * from tbl_student where Age<@age";
                        cmd.Parameters.Add(new SqlParameter("@age", 100));

                        //SqlDataAdapter是一个帮我们把SqlCommand查询结果填充到DataSet中的类
                        SqlDataAdapter adapter = new SqlDataAdapter(cmd);
                        //DataSet相当于本地的一个复杂集合List<...>
                        DataSet dataset = new DataSet();
                        adapter.Fill(dataset);      //执行cmd,并且把SqlCommand查询结果填充到DataSet

                        DataTable table = dataset.Tables[0];            //dataset可以有很多个表
                        DataRowCollection rows = table.Rows;
                        for (int i = 0; i < rows.Count; i++)
                        {
                            DataRow row = rows[i];
                            int age = (int)row["Age"];
                            string name = (string)row["Name"];
                            string comment = (string)row["Comment"];
                            MessageBox.Show(name + "," + age.ToString() + "," + comment);
                        }
                    }
                }
            }
            catch { }

        }

 测试

将生成的Debug程序拷贝到虚拟机中的win7系统环境下运行,config中修改ip地址

 工程代码

https://download.csdn.net/download/panjinliang066333/85153786

创作不易,请多多支持

Big_潘大师
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
数据库课程设计-基于ADO.NET的简易学生信息管理系统
11-30
这是一个基于ADO.NET和WinForm编写的图形化简易学生信息管理系统。包含了对数据库的增删查改四大基本操作,同时实现了动态备份和恢复整个数据库,便于挽回数据损失。该项目足以应付计算机专业本科生数据库课程设计和...
C#-ADO.net连接数据库-进行增删改查操作
04-30
C#-ADO.net连接数据库-进行增删改查操作
ADO.NET—基于对象职责明确原则优化程序
W117544265的博客
07-14 119
学习了如何编写通用数据访问类SQLHelper,在此基础上还可以继续优化程序,基于对象职责明确原则,将程序封装成学生数据信息访问类、班级信息访问类、成绩信息访问类等。 1 /// <summary> 2 /// 学员信息数据访问类 3 /// </summary> 4 class StudentService ...
C#数据库教程2-ADO.NET常用SQL语句
panjinliang066333的博客
04-14 1848
目录 1、插入SQL数据 2、查询SQL语句 3、插入数据后,查询 ID,获得自增字段的值 总结: 数据类型对应 1、插入SQL数据 (using用完以后自动释放,而使用close或者Dispose这些在出现异常得时候不会释放内存资源导致数据库越来越慢) private void btnInsert_Click(object sender, EventArgs e) { try { .
C#面:数据访问通过aspx⻚⾯和DB层会很慢,有什么解决方法
最新发布
那个那个鱼的博客
06-09 359
以上是一些常见的解决方法,具体的解决方案需要根据具体情况进行调整和优化
C# 数据库连接池 的使用 可以优化数据库
Sunqlive的博客
09-22 2770
using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Data.SqlClient; using System.Diagnostics; namespace _02ConnectionpoolTest {     class Pro
C#对于数据库的增删查改
热门推荐
qq_37435116的博客
04-20 1万+
首先,放出主界面供大家观摩。 温馨提示,再进行增删查改之前需要手动建立数据库和数据表及对应字段。在注释当中,有很多知识点,可以停留一会好好消化。 功能1、向数据库中增加数据 在相应区域输入完毕后,点击“插入”按钮即可。 private void button1_Click(object sender, EventArgs e)//增加 { if (textBox1.Text=="" || textBox2.Text == "" || textBox3
C#数据库教程5-ADO.NET登录页面设计
04-21
在本"C#数据库教程5-ADO.NET登录页面设计"中,我们将探讨如何使用C#编程语言结合ADO.NET技术,创建一个交互式的用户登录界面,并与SQL Server数据库进行数据交互。这个教程涵盖了两个主要部分:用户功能设计和数据库...
C#数据库教程6-ADO.NET用户数据导入数据库的几种类型
05-09
这篇教程C#数据库教程6-ADO.NET用户数据导入数据库的几种类型”将详细介绍如何利用C#ADO.NET框架处理不同类型的用户数据导入到SQL Server数据库的过程。以下是对这些知识点的详细讲解: 一、文本数据导入数据库...
C# 大批量插入数据库优化(MySQL、SQL Server、Oracle)
qq_25421741的博客
07-21 1517
前言:以下组件皆是从内存直接写入数据库,比起循环建立连接进行Insert效率提升非常明显 1、MySQL,利用MySqlBulkLoader #region 批量插入数据 ///// <summary> ///// 批量插入收集库件级文书档案信息实体(批量) ///// </summary> ///// <param name="dataTable">数据表</param> ///// <returns></returns> publi
C# 性能优化最佳实践
勿忘初心
01-22 5552
1、使用泛型来避免装箱、拆箱操作。         装箱操作会造成GC压力;如果发生在集合中,应该使用泛型集合避免。         对于值类型的集合,使用List来代替ArrayList,使用Dictionary来代替Hashtable。 ArrayList h=new ArrayList(); //不建议 h.Add(1); List h = new List(); //不建议
常用的26个优化性能方法 (asp.net C#)
bentonite的专栏
10-29 392
 1. 数据库访问性能优化        数据库的连接和关闭  访问数据库资源需要创建连接、打开连接和关闭连接几个操作。这些过程需要多次与数据库交换信息以通过身份验证,比较耗费服务器资源。ASP.NET中提供了连接池(ConnectionPool)改善打开和关闭数据库对性能的影响。系统将用户的数据库连接放在连接池中,需要时取出,关闭时收回连接,等待下一次的连接请求。 
C# 代码优化常用小技巧(可以在评论区增加读者的优化经验)
IT技术猿猴的博客
02-26 1681
1 避免循环创建对象 线程中存在while中避免采用linq语句; 对于大数据量的循环,要格外关注。循环内的逻辑应该执行的尽可能的快; 如果对象并不会随每次循环而改变状态,那么在循环中反复创建对象将带来性能损耗。高效的做法是将对象提到循环外面创建; while循环建议变量 添加在循环外面; 绝对不要在循环中使用try-Catch. 2 在需要逻辑分支中创建对象 如果对象只在某些逻辑分支中才被用到,那么应只在该逻辑分支中创建对象。 3 使用常量避免创建对象 程序中不应出现如 new D
大数据查询优化经验记录
wzl1369248650的博客
06-17 926
(主表) count:50793 (从表) count: 50793 目标:从5w多的数据查询GROUP_ID = 308的数据,查询的数据2w多条 测试受限于机器性能以及执行多次下oracle缓存,有一定误差。仅做参考 1 单表不加条件 第一次请求:sql时间:4240,接口返回5811 第二次请求:sql时间:3211,接口返回3293 第二次请求:sql时间:1998,接口返回2753 ...
ADO.NET数据库访问指南-C#连接数据库步骤解析
"这篇文档介绍了使用C#连接和操作数据库的基本步骤,并重点讲解了ADO.NET的概念、架构以及关键类和对象。" 在C#中连接并使用数据库通常涉及以下...了解和掌握这些概念和对象对于任何C#数据库开发者都是至关重要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Big_潘大师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值