ADO.NET连接池
ado.net默认启用了连接池
*如何清空连接池?Connection的静态方法ClearAllPools()、 ClearPool()
Ado.net连接池使用总结:
1.第一次打开连接会创建一个连接对象
2.当这个连接关闭时(调用Close()方法时)会将当前那个连接对象放入池中
3.下一个连接对象,如果连接字符串与池中现有连接对象的连接字符串完全一致,则会使用池中的现有连接,而不会重新创建一个
4.只有对象调用Close(),的时候才会放入池中,如果一个连接对象一直在使用,则下次再创建一个连接对象发现池中没有,也会再创建一个新连接对象
5.在池中的连接对象,如果过一段时间没有被访问则自动销毁
6.使用建议:尽量晚打开,尽量早关闭
语句参数化
SQL注入漏洞攻击:构造恶意的Password:hello' or 1=1 --
防范注入漏洞攻击的方法:不使用SQL语句拼接,通过参数赋值
查询参数
SQL语句使用@UserName表示“此处用参数代替”,向SqlCommand的Parameters中添加参数
cmd.CommandText = "select * from [user] where uUserName=@UserName and uPwd=@Password";
cmd.Parameters.Add(new SqlParameter(“@ UserName ","admin"));
cmd.Parameters.Add(new SqlParameter(“@ Password ",password));
参数在SQLServer内部不是简单的字符串替换,SQLServer直接用添加的值进行数据比较,因此不会有注入漏洞攻击。(带参数的sql语句内部是调用了存储过程)
SQL Server仅支持已命名参数@arg1,而Oledb、Odbc仅支持通用参数标记(?),不同数据提供程序对参数的写法可能不同。
配置文件
将连接字符串写在代码中的缺点:多次重复,违反了DRY(Don't Repeat Yourself)原则;如果要修改连接字符串就要修改代码。将连接字符串写在App.Config中:
添加App.config文件(文件名不能改):添加→新建项→常规→应用程序配置文件。App.config是.Net的通用配置文件,在ASP.Net中也能同样使用
在App.config中添加connectionStrings段,添加一个add项,用name属性起一个名字(比如DbConnStr),connectionString属性指定连接字符串
在“引用”节点上点右键“添加引用”,找到System.configuration。不是所有.Net中的类都能直接调用,类所在的Assembly要被添加到项目的引用中才可以
ConfigurationManager.ConnectionStrings[" DbConnStr "].ConnectionString得到连接字符串
如何在部署的程序中修改配置:直接编辑配置文件即可
注意事项:在app.config配置文件中写连接字符串的时候不需要要加转义符。例如:Data Source=.SQLEXPRESS 即可,不需要写成Data Source=.\SQLEXPRESS
空值处理说明:进行空值判断,使用DBNull.Value
DataSet与DataTable
这是Ado.net的第二大组件,用于断开连接时的数据操作
DataSet:存在于内存中的临时数据库,数据集
DataTable:临时表
为临时数据库创建表,并添加到临时数据库中:ds.Tables.Add(dt);
为表中创建列DataColumn:需要指定列名、列数据类型:dt.Columns.Add(dc1);
增加行数据:dt.Rows.Add(...)//如果有自动增长列,则这么写就不正确了
DataRow dr=dt.NewRow();
dr[int]或dr[string]访问行中的某列