ADO.NET进阶

CV大法好2024-12-21 10:59

一、sql注入风险及解决方案

SQL注入是指在事先定义好的SQL语句中注入额外的SQL语句,从此来欺骗数据库服务器的行为。

示例:制作会员登录功能。

二、防止sql注入解决方案

  • 使用参数化查询
  • 使用ORM框架 Entity Framework可以自动处理SQL查询的安全性

使用参数化查询

cs 复制代码 
private void btLogin_Click(object sender, EventArgs e)
{
    // 定义数据库连接字符串
    string conStr = "server=.;database=adoNet;uid=sa;pwd=123456";    
    // 创建SqlConnection对象并初始化连接字符串
    SqlConnection conn = new SqlConnection(conStr);    
    // 打开数据库连接
    conn.Open();
    
    // 定义SQL查询语句,并使用参数化查询防止SQL注入
    string sql = " select * from Member where MemberAccount = @MemberAccount and MemberPwd = @MemberPwd";
    // 创建一个SqlDataAdapter对象,用于填充DataTable
    SqlDataAdapter adapter = new SqlDataAdapter(sql, conn);
    
    // 向SelectCommand中添加参数,将文本框中的值作为参数值传递
    adapter.SelectCommand.Parameters.Add(new SqlParameter("@MemberAccount", this.textAccount.Text));
    adapter.SelectCommand.Parameters.Add(new SqlParameter("@MemberPwd", this.textPwd.Text));
    
    // 创建一个新的DataTable实例
    DataTable dt = new DataTable();
    
    // 使用SqlDataAdapter的Fill方法填充DataTable
    adapter.Fill(dt);
        
    if (dt.Rows.Count > 0)           
        MessageBox.Show("登录成功");    
    else    
        MessageBox.Show("登录失败");
    
}
cs 复制代码 
string sql ="INSERT INTO Member (MemberAccount, MemberPwd, MemberName, MemberPhone)VALUES" +
     " (@MemberAccount ,@MemberPwd ,@MemberName ,@MemberPhone )";
 //****执行sql语句******
 SqlCommand cmd = new SqlCommand(sql, conn);
 cmd.Parameters.Add(new SqlParameter("@MemberAccount", this.textAccount.Text));
 cmd.Parameters.Add(new SqlParameter("@MemberPwd", this.textPwd.Text));
 cmd.Parameters.Add(new SqlParameter("@MemberName", this.textName.Text));
 cmd.Parameters.Add(new SqlParameter("@MemberPhone", this.textIphone.Text));
 int code = cmd.ExecuteNonQuery();

三、封装DBHelper类

  • 代码重用
  • 提高可读性和可维护性
  • 遵循单一职责原则
  • 安全性参数化查询
cs 复制代码 
internal class DBHelper
{
    // 连接字符串,包含服务器地址、数据库名称、用户名和密码
    public static string strConn = "server=.;database=adoNet;uid=sa;pwd=123456";

    // 数据库连接对象,用于与数据库建立连接
    public static SqlConnection conn = null;

    // 数据适配器,用于执行 SQL 命令并填充数据集
    public static SqlDataAdapter adp = null;

    /// <summary>
    /// 打开数据库连接
    /// </summary>
    public static void OpenConn()
    {
        if (conn == null)
        {
            // 如果连接对象为空,则创建一个新的连接对象并打开连接
            conn = new SqlConnection(strConn);
            conn.Open();
        }
        if (conn.State == System.Data.ConnectionState.Closed)
        {
            // 如果连接已关闭,则重新打开连接
            conn.Open();
        }
        if (conn.State == System.Data.ConnectionState.Broken)
        {
            // 如果连接状态为断开,则先关闭再重新打开连接
            conn.Close();
            conn.Open();
        }
    }

    /// <summary>
    /// 准备 SQL 语句,包括打开数据库连接和创建数据适配器
    /// </summary>
    /// <param name="sql">要执行的 SQL 语句</param>
    public static void PrepareSql(string sql)
    {
        OpenConn(); // 打开数据库连接
        adp = new SqlDataAdapter(sql, conn); // 创建数据适配器并设置 SQL 语句和连接对象
    }

    /// <summary>
    /// 设置 SQL 语句的参数
    /// </summary>
    /// <param name="paramenterName">参数名称</param>
    /// <param name="paramenterValue">参数值</param>
    public static void SetParamenter(string paramenterName, object paramenterValue)
    {
        if (paramenterValue == null)
        {
            // 如果参数值为 null,则将其转换为 DBNull.Value
            paramenterValue = DBNull.Value;
        }// 添加参数到 SQL 命令中
        adp.SelectCommand.Parameters.Add(new SqlParameter(paramenterName, paramenterValue)); 
    }

    /// 执行非查询 SQL 语句(如 INSERT、UPDATE、DELETE)
    public static int ExecNonQuery()
    {
        int count = adp.SelectCommand.ExecuteNonQuery(); // 执行 SQL 命令并返回受影响的行数
        conn.Close(); // 关闭数据库连接
        return count;
    }

  
    /// 执行查询 SQL 语句并返回数据表
    public static DataTable ExceQuery()
    {
        DataTable dt = new DataTable(); // 创建一个新的数据表
        adp.Fill(dt); // 使用数据适配器填充数据表
        return dt; // 返回数据表
    }

    // 执行查询 SQL 语句并返回 DataReader 对象
    //<returns>包含查询结果的 DataReader 对象</returns>
    public static SqlDataReader ExcuDataReader()
    {// 执行 SQL 命令并返回 DataReader 对象,同时设置关闭连接的行为
        return adp.SelectCommand.ExecuteReader(CommandBehavior.CloseConnection); 
    }

    /// <summary>
    /// 执行查询 SQL 语句并返回单个值
    /// </summary>
    /// <returns>查询结果的第一个值</returns>
    public static Object ExecuteScalar()
    {
        Object obj = adp.SelectCommand.ExecuteScalar(); // 执行 SQL 命令并返回第一个值
        conn.Close(); // 关闭数据库连接
        return obj; // 返回查询结果
    }
}
cs 复制代码 
private void button1_Click(object sender, EventArgs e)
 {   //准备sql语句
     string sql = "INSERT INTO Member (MemberAccount, MemberPwd, MemberName, MemberPhone)VALUES" +
         " (@MemberAccount ,@MemberPwd ,@MemberName ,@MemberPhone )";
     DBHelper.PrepareSql(sql);

     //传参数
     DBHelper.SetParamenter("@MemberAccount", this.textAcount.Text);
     DBHelper.SetParamenter("@MemberPwd", this.textPwd.Text);
     DBHelper.SetParamenter("@MemberName", this.textName.Text);
     DBHelper.SetParamenter("@MemberPhone", this.textIphone.Text);
     //执行
     DBHelper.ExecNonQuery();
 }
相关推荐
星月前端6 分钟前
随记:springboot的xml中sql数据库表名动态写法
xml·数据库·spring boot
赶紧写完去睡觉9 分钟前
数据库管理系统——NoSQL之文档数据库(MongoDB)
数据库·mongodb·nosql
woshilys12 分钟前
SQL Server 中对网络数据库文件的支持说明
数据库·sqlserver
SANGEDZ_YYDS22 分钟前
三格电子——新品IE103转ModbusTCP网关
服务器·网络·tcp/ip
serendipity_hky32 分钟前
【Redis学习 | 第4篇】Redis代替Session实现登录 —— 黑马点评的短信登录功能
数据库·redis·学习
听说唐僧不吃肉1 小时前
MySQL篇之对MySQL进行参数优化,提高MySQL性能
数据库·mysql
play_big_knife1 小时前
鸿蒙项目云捐助第十五讲云数据库的初步使用
数据库·华为云·harmonyos·鸿蒙·云开发·云数据库·鸿蒙开发
海涛高软1 小时前
linux上qt打包(二)
linux·运维·服务器
monstercl2 小时前
【C#】预处理指令
服务器·数据库·c#
豪宇刘2 小时前
深入了解 MyBatis:简化 Java 数据库交互
java·数据库·mybatis
热门推荐
01HCIA-datacom数通题库和录播视频资料02文心一言最新重磅发布!03(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明04校验 GPT-4 真实性的三个经典问题:快速区分 GPT-3.5 与 GPT-4,并提供免费测试网站05如何解决电脑无声问题:排除故障的几种常见方法06玄机平台应急响应—webshell查杀07解决:使用WileyNJDv5_Template模板时,无法生成pdf文件。08WPS-0DAY-20230809的分析和利用复现09Docker 夺命连环 15 问10机密计算--基于可信执行环境(TEE)的隐私计算技术