ADO.NET进阶

CV大法好2024-12-21 10:59

一、sql注入风险及解决方案

SQL注入是指在事先定义好的SQL语句中注入额外的SQL语句,从此来欺骗数据库服务器的行为。

示例:制作会员登录功能。

二、防止sql注入解决方案

  • 使用参数化查询
  • 使用ORM框架 Entity Framework可以自动处理SQL查询的安全性

使用参数化查询

cs 复制代码 
private void btLogin_Click(object sender, EventArgs e)
{
    // 定义数据库连接字符串
    string conStr = "server=.;database=adoNet;uid=sa;pwd=123456";    
    // 创建SqlConnection对象并初始化连接字符串
    SqlConnection conn = new SqlConnection(conStr);    
    // 打开数据库连接
    conn.Open();
    
    // 定义SQL查询语句,并使用参数化查询防止SQL注入
    string sql = " select * from Member where MemberAccount = @MemberAccount and MemberPwd = @MemberPwd";
    // 创建一个SqlDataAdapter对象,用于填充DataTable
    SqlDataAdapter adapter = new SqlDataAdapter(sql, conn);
    
    // 向SelectCommand中添加参数,将文本框中的值作为参数值传递
    adapter.SelectCommand.Parameters.Add(new SqlParameter("@MemberAccount", this.textAccount.Text));
    adapter.SelectCommand.Parameters.Add(new SqlParameter("@MemberPwd", this.textPwd.Text));
    
    // 创建一个新的DataTable实例
    DataTable dt = new DataTable();
    
    // 使用SqlDataAdapter的Fill方法填充DataTable
    adapter.Fill(dt);
        
    if (dt.Rows.Count > 0)           
        MessageBox.Show("登录成功");    
    else    
        MessageBox.Show("登录失败");
    
}
cs 复制代码 
string sql ="INSERT INTO Member (MemberAccount, MemberPwd, MemberName, MemberPhone)VALUES" +
     " (@MemberAccount ,@MemberPwd ,@MemberName ,@MemberPhone )";
 //****执行sql语句******
 SqlCommand cmd = new SqlCommand(sql, conn);
 cmd.Parameters.Add(new SqlParameter("@MemberAccount", this.textAccount.Text));
 cmd.Parameters.Add(new SqlParameter("@MemberPwd", this.textPwd.Text));
 cmd.Parameters.Add(new SqlParameter("@MemberName", this.textName.Text));
 cmd.Parameters.Add(new SqlParameter("@MemberPhone", this.textIphone.Text));
 int code = cmd.ExecuteNonQuery();

三、封装DBHelper类

  • 代码重用
  • 提高可读性和可维护性
  • 遵循单一职责原则
  • 安全性参数化查询
cs 复制代码 
internal class DBHelper
{
    // 连接字符串,包含服务器地址、数据库名称、用户名和密码
    public static string strConn = "server=.;database=adoNet;uid=sa;pwd=123456";

    // 数据库连接对象,用于与数据库建立连接
    public static SqlConnection conn = null;

    // 数据适配器,用于执行 SQL 命令并填充数据集
    public static SqlDataAdapter adp = null;

    /// <summary>
    /// 打开数据库连接
    /// </summary>
    public static void OpenConn()
    {
        if (conn == null)
        {
            // 如果连接对象为空,则创建一个新的连接对象并打开连接
            conn = new SqlConnection(strConn);
            conn.Open();
        }
        if (conn.State == System.Data.ConnectionState.Closed)
        {
            // 如果连接已关闭,则重新打开连接
            conn.Open();
        }
        if (conn.State == System.Data.ConnectionState.Broken)
        {
            // 如果连接状态为断开,则先关闭再重新打开连接
            conn.Close();
            conn.Open();
        }
    }

    /// <summary>
    /// 准备 SQL 语句,包括打开数据库连接和创建数据适配器
    /// </summary>
    /// <param name="sql">要执行的 SQL 语句</param>
    public static void PrepareSql(string sql)
    {
        OpenConn(); // 打开数据库连接
        adp = new SqlDataAdapter(sql, conn); // 创建数据适配器并设置 SQL 语句和连接对象
    }

    /// <summary>
    /// 设置 SQL 语句的参数
    /// </summary>
    /// <param name="paramenterName">参数名称</param>
    /// <param name="paramenterValue">参数值</param>
    public static void SetParamenter(string paramenterName, object paramenterValue)
    {
        if (paramenterValue == null)
        {
            // 如果参数值为 null,则将其转换为 DBNull.Value
            paramenterValue = DBNull.Value;
        }// 添加参数到 SQL 命令中
        adp.SelectCommand.Parameters.Add(new SqlParameter(paramenterName, paramenterValue)); 
    }

    /// 执行非查询 SQL 语句(如 INSERT、UPDATE、DELETE)
    public static int ExecNonQuery()
    {
        int count = adp.SelectCommand.ExecuteNonQuery(); // 执行 SQL 命令并返回受影响的行数
        conn.Close(); // 关闭数据库连接
        return count;
    }

  
    /// 执行查询 SQL 语句并返回数据表
    public static DataTable ExceQuery()
    {
        DataTable dt = new DataTable(); // 创建一个新的数据表
        adp.Fill(dt); // 使用数据适配器填充数据表
        return dt; // 返回数据表
    }

    // 执行查询 SQL 语句并返回 DataReader 对象
    //<returns>包含查询结果的 DataReader 对象</returns>
    public static SqlDataReader ExcuDataReader()
    {// 执行 SQL 命令并返回 DataReader 对象,同时设置关闭连接的行为
        return adp.SelectCommand.ExecuteReader(CommandBehavior.CloseConnection); 
    }

    /// <summary>
    /// 执行查询 SQL 语句并返回单个值
    /// </summary>
    /// <returns>查询结果的第一个值</returns>
    public static Object ExecuteScalar()
    {
        Object obj = adp.SelectCommand.ExecuteScalar(); // 执行 SQL 命令并返回第一个值
        conn.Close(); // 关闭数据库连接
        return obj; // 返回查询结果
    }
}
cs 复制代码 
private void button1_Click(object sender, EventArgs e)
 {   //准备sql语句
     string sql = "INSERT INTO Member (MemberAccount, MemberPwd, MemberName, MemberPhone)VALUES" +
         " (@MemberAccount ,@MemberPwd ,@MemberName ,@MemberPhone )";
     DBHelper.PrepareSql(sql);

     //传参数
     DBHelper.SetParamenter("@MemberAccount", this.textAcount.Text);
     DBHelper.SetParamenter("@MemberPwd", this.textPwd.Text);
     DBHelper.SetParamenter("@MemberName", this.textName.Text);
     DBHelper.SetParamenter("@MemberPhone", this.textIphone.Text);
     //执行
     DBHelper.ExecNonQuery();
 }
相关推荐
AI-Ming几秒前
程序员转行学习 AI 大模型: 踩坑记录:服务器内存不够,程序被killed
服务器·人工智能·python·gpt·深度学习·学习·agi
IT邦德7 分钟前
Oracle向量数据库实战
数据库·oracle
2401_8735449220 分钟前
使用Python处理计算机图形学(PIL/Pillow)
jvm·数据库·python
路由侠内网穿透22 分钟前
本地部署开源工作空间工具 AFFiNE 并实现外部访问
运维·服务器·数据库·物联网·开源
zzzsde24 分钟前
【Linux】Ext文件系统(1)
linux·运维·服务器
njidf25 分钟前
自动化机器学习(AutoML)库TPOT使用指南
jvm·数据库·python
爱学习的小囧27 分钟前
ESXi 8.0 无法选择分区方式 小白级详细解决办法
运维·服务器·网络·虚拟化·esxi8.0
F1FJJ30 分钟前
什么是 Shield CLI?视频讲解:一条命令,可浏览器远程访问一切内部服务(RDP/VNC/SSH/数据库等)
运维·网络·数据库·网络协议·ssh
星辰_mya1 小时前
InnoDB的“身体结构”:页、Buffer Pool与Redo Log的底层奥秘
数据库·mysql·spring·面试·系统架构
徐子元竟然被占了!!1 小时前
批处理脚本-命令
服务器
热门推荐
012026年3月AI领域大事件:DeepSeek引领开源风暴02GitHub 镜像站点03围棋-html版本04小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)05班级宠物园部署指南06【计算机一级WPSoffice】小黑课堂题库软件下载安装教程(2026年3月最新版)07UV安装并设置国内源08“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)09中国象棋-html版本10Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南