C#操作sql server

//1.创建连接字符串

 string strCnn = "server=.;database=students;integrated security=true"; 

       // string strCnn = "server=.;database=students;uid=sa;pwd=123";

        SqlConnection sqlCnn = new SqlConnection();
        sqlCnn.ConnectionString = strCnn;

//2.创建查询命令、

        SqlCommand sqlCmm = new SqlCommand();
       sqlCmm.Connection = sqlCnn;

sqlCmm.CommandText = "select * from student";

//3.数据适配器

 SqlDataAdapter sqlDA = new SqlDataAdapter(sqlCmm);//能自动创建sqlCnn.Open();SqlCnn.Close();

       // SqlDataAdapter sqlDA = new SqlDataAdapter("select * from student", strCnn);//让SqlDataAdapter 自动创建连接，和生成SqlCommand.,自动管理连接，打开。
        DataSet ds = new DataSet();

        sqlDA.Fill(ds);//填充DateSet

//绑定到数据集。

        this.GridView1.DataSource = ds;
        this.GridView1.DataBind();

 sqlCmm.CommandText = string.Format("select count(*) from student where sname='{0}' and scity='{1}'",this.TextBox1.Text,this.TextBox2.Text);

 使用  拼接Sql查询字符串的方法 很容易造成数据库注入攻击。

这样用参数的方法就会很安全

sqlCmm.CommandText = “select Count(*) from student where sname=@sname and scity=@sctiy"
 cmd.Parameters.Clear();
 cmd.Parameters.Add(new SqlParameter("sname",this.TextBox1.Text));
 cmd.Parameters.Add(new SqlParameter("scity",this.TextBox2.Text));