//1.创建连接字符串
string strCnn = "server=.;database=students;integrated security=true";
// string strCnn = "server=.;database=students;uid=sa;pwd=123";
SqlConnection sqlCnn = new SqlConnection();
sqlCnn.ConnectionString = strCnn;
//2.创建查询命令、
SqlCommand sqlCmm = new SqlCommand();
sqlCmm.Connection = sqlCnn;
sqlCmm.CommandText = "select * from student";
//3.数据适配器
SqlDataAdapter sqlDA = new SqlDataAdapter(sqlCmm);//能自动创建sqlCnn.Open();SqlCnn.Close();
// SqlDataAdapter sqlDA = new SqlDataAdapter("select * from student", strCnn);//让SqlDataAdapter 自动创建连接,和生成SqlCommand.,自动管理连接,打开。
DataSet ds = new DataSet();
sqlDA.Fill(ds);//填充DateSet
//绑定到数据集。
this.GridView1.DataSource = ds;
this.GridView1.DataBind();
sqlCmm.CommandText = string.Format("select count(*) from student where sname='{0}' and scity='{1}'",this.TextBox1.Text,this.TextBox2.Text);
使用 拼接Sql查询字符串的方法 很容易造成数据库注入攻击。
这样用参数的方法就会很安全
sqlCmm.CommandText = “select Count(*) from student where sname=@sname and scity=@sctiy" cmd.Parameters.Clear(); cmd.Parameters.Add(new SqlParameter("sname",this.TextBox1.Text)); cmd.Parameters.Add(new SqlParameter("scity",this.TextBox2.Text));