黑马程序员(12)--执行多条查询结果ExecuteReader()、参数化查询以便防止SQL注入漏洞攻击、DataSet离线数据集、连接字符串放到配置文件中、自己编写Sqlhelper以及改进

最新推荐文章于 2013-06-27 20:17:12 发布
最新推荐文章于 2013-06-27 20:17:12 发布
阅读量635 收藏
点赞数
分类专栏: 黑马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangxinkun218/article/details/9111367
版权
Windows Phone 7手机开发.Net培训



01执行多条查询结果ExecuteReader()

 
private void button1_Click(object sender, RoutedEventArgs e)
        {


            using (SqlConnection conn = new 


SqlConnection("Data Source=.;Initial 


Catalog=mydb2;User ID=sa;Password=123456"))
            {
                conn.Open();
                using (SqlCommand cmd = conn.CreateCommand())
                {
                    cmd.CommandText = "select * from T_employee where FAge<100";
                    using (SqlDataReader reader = cmd.ExecuteReader())//查询结果只放到数据库中,而不占用客户端。查询完成之后,有一个相当于指针的指针放到最开始之前的一格,每调用reader一次指针下一条,当移到最后一条之后时,就返回true。
                    { 
                    while(reader.Read())
                    {
                        string name=reader.GetString(1);//1是指的在查询结果中的第1列
                        MessageBox.Show(name);
                    }
                   
                    }
                }
                MessageBox.Show("execute accomplish");
            }
        }






02参数化查询以便防止SQL注入漏洞攻击


 using (SqlConnection conn = new SqlConnection("Data Source=.;Initial Catalog=mydb2;User ID=sa;Password=123456"))
            {
                
                conn.Open();
                using (SqlCommand cmd = conn.CreateCommand())
                {
                    
                    //cmd.CommandText = "select FAge from T_employee where FName='"+txtName.Text+"'";//这种方式输入1'or'1'='1会造成SQL注入漏洞。
                    cmd.CommandText = "select FAge from T_employee where FName=@Name or FAge>@age";//@Name是占位符,表示待会要往这里填
                    //cmd.Parameters.AddWithValue("@Name", txtName.Text);//可以,但是推荐下面的方法
                    cmd.Parameters.Add(new SqlParameter("@Name", txtName.Text));//给@Name的值设置为文本框的值。
                    cmd.Parameters.Add(new SqlParameter("@age", txtAge.Text));
                    
                    //只能用在刚才、inset into……value(@name.@Age)或者delect……where id=@ID,总之@参数不能用来替换表名、字段名、select之类的关键字。
                    using (SqlDataReader reader = cmd.ExecuteReader())
                    { 
                        while(reader.Read())
                         {
                             int age=reader.GetInt32(0);
                             MessageBox.Show(age.ToString());
                          }
                   
                    }
                }
                MessageBox.Show("execute accomplish");
                
            }








03DataSet离线数据集
SQLDataReader是连接相关的,SqlDataReader中的查询结果并不是放到程序中的,而是放在数据库服务器中,SqlDataReader只是相当于放了一个指针(游标),只能读取当前游标指向的行,一旦连接断开就不能再读取。这样做大的好处是无论查询结果有多少条,对程序占用的内存都几乎没有影响。但是如果数据量如果不是很大,就可以将数据拿到客户端。DataSet离线数据集可以减小数据区的压力。


private void button2_Click(object sender, RoutedEventArgs e)
        {
             using (SqlConnection conn = new SqlConnection("Data Source=.;Initial Catalog=mydb2;User ID=sa;Password=123456"))
            {
                conn.Open();
                using (SqlCommand cmd = conn.CreateCommand())
                {
                    cmd.CommandText = "select * from T_employee where FAge<@age";
                    cmd.Parameters.Add(new SqlParameter("@age", 30));
                    SqlDataAdapter adaper = new SqlDataAdapter(cmd);//SqlDataAdapter是帮我们把SqlCommand查询结果填充到DataSet中的类
                    DataSet dataset = new DataSet();//相当于本地的一个负载集合(List<int>)
                    adaper.Fill(dataset);//Fill把查询结果填充到DataSet中


                    DataTable table = dataset.Tables[0];
                    DataRowCollection rows = table.Rows;
                    for (int i = 0; i < rows.Count; i++)
                    {
                        DataRow row = rows[i];
                        int age = (int)row["FAge"];
                        string name = (string)row["FName"];
                        MessageBox.Show(name + "," + age);
                    }
                 }
             }


        }










04连接字符串放到配置文件中


1将连接字符串添加到应用程序配置文件。添加》新建项》应用程序配置文件(默认文件名值App1.config,但是这样运行的时候会报错“连接字符串未将对象引用设置到对象的实例”,要把名字改成App.config切放到最上层)》添加节点
<configuration>
  <connectionStrings>
    <add name="dbConnStr" 
connectionString="Data Source=.;Initial Catalog=mydb2;User ID=sa;Password=12346"/>
  </connectionStrings>
</configuration>

2添加引用

解决方案管理器-引用》添加》.net》System.configuration


3编写语句

 string cinnStr = ConfigurationManager.ConnectionStrings["dbConnStr"].ConnectionString;


给用户的时候要给a.exe和相应的a.exe.config。连接变了之后改config文件就行了。asp.net里是web.config






05自己编写Sqlhelper以及改进
      


class SqlHelper
{        private static string connStr = ConfigurationManager.ConnectionStrings["dbConnStr"].ConnectionString;//static程序初始化时运行。
          只用来查询执行结果比较小的sql
        //public static DataSet ExecuteDataSet(string sql)
        //{
        //    using (SqlConnection conn = new SqlConnection(connStr))
        //    {
        //        conn.Open();
        //        using (SqlCommand cmd = conn.CreateCommand())
        //        {
        //            cmd.CommandText = sql;
        //            SqlDataAdapter adapter = new SqlDataAdapter(cmd);
        //            DataSet dataset = new DataSet();
        //            adapter.Fill(dataset);
        //            return dataset;
        //        }
        //    }
        //}


        public static DataSet ExecuteDataSet(string sql,SqlParameter[] parameters)
        {
            using (SqlConnection conn = new SqlConnection(connStr))
            {
                conn.Open();
                using (SqlCommand cmd = conn.CreateCommand())
                {
                    cmd.CommandText = sql;
                    cmd.Parameters.AddRange(parameters);
                    SqlDataAdapter adapter = new SqlDataAdapter(cmd);
                    DataSet dataset = new DataSet();
                    adapter.Fill(dataset);
                    return dataset;
                }
            }
        }    
}




使用时:


private void btSql_Click(object sender, RoutedEventArgs e)
        {
            //SqlHelper.ExecuteNonQuery("insert into T_employee(Name,Age) values('lily',26)");
            
            
            DataSet ds=SqlHelper.ExecuteDataSet("select * from T_employee where Age>@age ",new SqlParameter[]{new SqlParameter("@age",26)});
            foreach (DataRow row in ds.Tables[0].Rows)
            {
                string name = (string)row["Name"];
                MessageBox.Show(name);
            }
        
        }






06长度可变参数


 class Program
    {
        static void Main(string[] args)
        {
            int i = Sum(new int[] { 3, 5, 4, 2, 7 });
            Console.WriteLine(i);


            int j = Sum(3, 5, 74, 65, 3);
            Console.WriteLine(j);
            Console.ReadKey();


        }
        static int Sum(params int[] sums)//params把最后的所有参数拼到一个数组里。所有必须放到所有参数的最后一个。
        {
            int result = 0;
            foreach (int i in sums)
            {
                result += i;
            }
            return result;
        }
    }




更改后的ExecuteDataTable:
 public static DataTable ExecuteDataTable(string sql,params SqlParameter[] parameters)
        {
            using (SqlConnection conn = new SqlConnection(connStr))
            {
                conn.Open();
                using (SqlCommand cmd = conn.CreateCommand())
                {
                    cmd.CommandText = sql;
                    cmd.Parameters.AddRange(parameters);
                    SqlDataAdapter adapter = new SqlDataAdapter(cmd);
                    DataSet dataset = new DataSet();
                    adapter.Fill(dataset);
                    return dataset.Tables[0];
                }
            }
        }


使用:
private void btSql_Click(object sender, RoutedEventArgs e)
        {
            //SqlHelper.ExecuteNonQuery("insert into T_employee(Name,Age) values('lily',26)");
            
            
            //DataTable table=SqlHelper.ExecuteDataTable("select * from T_employee where Age>@age ",new SqlParameter[]{new SqlParameter("@age",26)});
            DataTable table=SqlHelper.ExecuteDataTable("select * from T_employee where Age>@age or Name=@name",new SqlParameter("@age",30),new SqlParameter("@name","lily"));
            foreach (DataRow row in table.Rows)
            {
                string name = (string)row["Name"];
                MessageBox.Show(name);
            }
            MessageBox.Show("accomplesh");
        }









旺紫淀夏
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET-[其他类别]Web页面执行SQL语句.zip
11-20
6. **参数查询**:为了防止SQL注入攻击,应使用参数查询。这可以通过在SQL语句使用占位符(如@param)并在SqlCommand对象添加SqlParameter来实现。 7. **Entity Framework**:作为ORM(对象关系映射)工具...
Case12_1.rar_c#与sql sever_case12
09-24
为了防止SQL注入攻击,应使用参数查询。例如: ```csharp string sql = "SELECT * FROM Users WHERE Username = @username"; SqlCommand command = new SqlCommand(sql, connection); command.Parameters....
sql里面读取数据dataset,很不错的例子
07-31
在实际应用,可能还需要考虑异常处理、参数查询防止SQL注入攻击、以及使用连接池提高性能等问题。此外,如果数据量较大,可以使用`SqlCommand`的`ExecuteReader`方法配合`SqlDataReader`来逐行读取数据,以...
CSharp-SQL.zip
08-02
防止SQL注入攻击,应使用参数查询。在C#,可以在SqlCommand对象添加SqlParameter,并将值映射到查询的占位符。 4. **数据操作** C#可以通过SqlCommand对象的ExecuteNonQuery方法执行更新、插入和删除操作...
商业编程-源码-Csharp实例71 useADO.zip
06-20
6. **参数查询**:为了防止SQL注入攻击,应使用参数查询。例如: ```csharp SqlCommand command = new SqlCommand("SELECT * FROM Customers WHERE CustomerID = @CustomerId", connection); command....
黑马程序员(9)——HTML基础
06-27 845
Windows Phone 7手机开发、.Net培训、期待与您交流! web开发相关概念 Acid浏览器兼容性测试 IEtester:里面集成了各个版本的IE 用webBrowser可以开发自己的浏览器 所谓的Trident引擎就是IE的webBrowser控件。 非IE内核的浏览器是WebKit引擎:chrome、safari、遨游3(双核) 静态页面:有一个html
黑马程序员(2)——枚举、数组、List的简单使用
06-26 440
Windows Phone 7手机开发、.Net培训、期待与您交流! 枚举、数组 一、枚举。    枚举是用户定义的整数类型。在声明一个枚举类型时,需要指定该枚举可以包含的一组可以接受的实例值。 static void Main() { int userAge=(int)user.Ager; Console.WriteLine(userAge); } public e
黑马程序员(10)——样式表、CSS(层叠样式表)、层(div)、块(Span)、常见样式、样式选择器、ID选择器
06-27 396
Windows Phone 7手机开发、.Net培训 一、样式表、CSS(层叠样式表) CSS(层叠样式表)是用来美页面用的,可以对页面元素进行更精细的设置。描述元素的皮肤。 主要有内联、页面嵌入和引用外部三种使用方式 A元素内嵌:直接将样式写入元素的style属性 B页面嵌入:                 input
黑马程序员(11)——主键类型的选择自动增长和GUID 、项目初始框架、数据的软删除、写入数据、读取数据
06-20 394
Windows Phone 7手机开发、.Net培训、期待与您交流! 01主键类型的选择自动增长和GUID    GUID:效率到,数据导入导出方便,业界 数据通过newid这个函数得到GUID(SQLServer2005之后有)是uniqueidentifier类型 VSGuid g1=Guid.NewGuid();来生成。值类型。不可以为空。
黑马程序员(1)——C#简介、变量 、值类型和引用类型
06-26 386
Windows Phone 7手机开发、.Net培训、期待与您交流! C#简介 C#本身是一门语言,他是用于生成面向.NET 环境的代码,但其并不是 .NET 的一部分。换言之,C#编写  的代码总是运行在.NET Framework 。而且,在很多时候,C#的特定功能依赖于.NET 。比如,在C#声  明一个 int 类型,实际上是.NET System.Int32 类的一个实例。
黑马程序员(7)——多线程聊天室
06-24 383
Windows Phone 7手机开发、.Net培训、期待与您交流! 线程:是程序的一个执行流,每一个线程都有自己专属的寄存器(存储栈指针和程序计数器等),但是代码区是共享的。即不同的线程可以执行同样的函数。 多线程:是只程序包含多个执行流,即在一个程序可以运行多个不同的线程来执行不同的代码,也就是说润徐单个程序创建多个并行的线程来完成各自的任务。 计算时间:Dat
黑马程序员(4)——构造函数、继承,派生类,派生类的构造方法
06-26 370
Windows Phone 7手机开发、.Net培训、期待与您交流! 一、构造函数 构造函数是和类名相同的类的一个方法,如果没有显式的声明,在系统会在编译的时候,自动生成一 个不带参数的,不执行任何动作的构造函数。但如果显式的声明了构造函数,系统就不会自动生成了。如果声明的构造函数是有参数的构造函数,  我们在实例类的时候,就必须以该构造函数而实例类。看下面的代码 using Sys
黑马程序员(5)——接口,接口继承、类型强制转换,拆箱,装箱、委托
06-26 367
Windows Phone 7手机开发、.Net培训、期待与您交流! 一、接口,接口继承 接口我们在前面也已经有所提及。接口的命名传统上都以大写I  开头。我们假设这样一种情况,一个系统有很多用户,我们可以查询某个用户是否存在,并且可以修改用户  的密码。但有可能某天我们的数据库从mysql 升级成为  sqlserver 。在这种情况下,我们看下面一个例  子。 using
黑马程序员(8)——数据绑定、INotifypropertyChange、数据上下文datacontext、listBox、datagrid
06-16 355
Windows Phone 7手机开发、.Net培训、期待与您交流! 01数据绑定 数据上下文 声明一个person类(为了尽量不操作空间)》在后台给person类new对象p1》给p1赋初值》把两个空间的数据上下文都设置为这个对象p1》空间把要绑定的属性设定Text="{Binding Name}"  02INotifypropertyChang
黑马程序员(3)——面向对象、类、方法
06-26 312
Windows Phone 7手机开发、.Net培训、期待与您交流! 一、面向对象        简单说说自己的认识。我们先来看看“对象”,什么是对象?我们在现实生活所能看到的一切都可以称为对象  。比如,企业、医院、宠物、植物、人。。。等等。在面向对象编程,对象往往被当作一个类,类有属  性和行为。我们以医院为例来说,医院有医生,有护士等,在医院可以做CT,B超等。在面向对象编程  ,
黑马程序员(6)-数据库基础、managemetstudio基本使用、语句、汇总、like和order by、ado.net基础
06-16 287
Windows Phone 7手机开发、.Net培训、期待与您交流! 01数据库基础 managemetstudio是SQL管理工具 查数据库:开始》设置》管理工具》服务 主键:只有不会重复的列才能当主键。业务主键和逻辑主键。推荐使用逻辑主键,她是费油任何业务意义的 02managemetstudio基本使用 bi
数据分析的核心技能和方法
最新发布
07-19
数据分析的核心技能和方法
毕业设计javajsp人寿保险销售网站(ssh)-qkrp源码含文档工具包
07-19
毕业设计javajsp人寿保险销售网站(ssh)-qkrp源码含文档工具包 后台是ssh框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 平湖人寿保险公司保险销售网站分为用户和管理员两个部分 前台部分(用户界面): 1、资讯浏览功能: (1)新闻资讯浏览 (2)新闻资讯查询 (3)公司简介 (4)通知公告 2、用户登录注册功能: (1)注册 (2)登录 3、用户管理功能 (1)个人信息管理 (2)订单管理 4、保险购买功能: (1)保险产品浏览 (2)保险产品查询 (3)保险产品购买 后台管理(管理员界面) 1、管理员登录功能: 管理员在管理员登录界面输入用户名和密码,即可登录管理员的界面。 2、资讯管理功能: (1)新闻资讯管理 (2)公司简介管理 (3)通知公告管理 3、保险产品管理: (1)保险产品信息管理 (2)保险产品查询 4、会员管理: (1)会员删除 (2)会员级别管理 5、统计管理: (1)保险产品销售量统计 (2)有效会员数量统计 包含:源码、数据库脚本、论文、环境工具包、相同框架项目的安装教程
sqlserver参数查询
07-13
使用参数查询后,查询语句参数值是预编译的,不会被解释为可执行的代码,因此可以有效地防止SQL注入攻击。 此外,参数查询还可以提高查询的性能。在执行查询之前,数据库服务器会对查询进行优,并创建...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值