哈哈,又到了总结的时间了,来回顾一下今天主要学了关于ADO.NET的哪些知识吧。(这次学的ADO访问数据库主要以访问SQL数据库为主)
理论:
首先我们要知道为什么要学习ADO.NET?
因为我们之前所学只能在查询分析器里查看数据,操作数据,我们不能让普通用户去学sql,所以我们搭建一个界面(web或winform)让用户方便的操作数据库中的数据
什么是ADO.NET?
ADO.NET就是一组类库,这组类库可以让我们通过程序的方式访问数据库,就像System.IO下的类操作文件一样, System.Data.这组类是用来操作数据库(不光是MSSql Server),它提供了统一的编程接口让操作其它数据库(Access、Oracle等)的方式和操作MSSql Server一致
ADO.NET组成
数据提供程序(常用类)
Connection: 连接对象,用来连接数据库
Command: 命令对象,用来执行SQL语句并返回结果
DataReader:数据读取器对象,只读、只进的结果集,一条一条读取数据(StreamReader、XmlReader微软的类库中这些Reader的使用方式都差不多)
DataAdapter:读取适配器对象,用来执行SQL语句并返回结果在DataSet与数据源之间建立通道,将数据源中的数据写入DataSet中,或者根据DataSet中的数据更新数据源。俗称“数据搬运工”
DataSet : 数据集对象,在内存中的临时数据库,是一个虚拟的数据源。利用数据适配器所执行的SQL命令或存储过程来填充数据。一旦填充后就可以断开与数据源的连接
ADO.NET的其他常见类
ConnectionStringBuilder 自动生成连接字符串
Parameter 带参数的SQL语句
Transaction 在ADO.NET中使用事务
与DataSet相关的类:
DataView 视图类,DataTable中的数据以不同的视角查看
DataRowView DataView中的行。
DataTable DataSet中的数据表
DataRow DataTable中的行
DataColumn DataTable中的列
DataRealation DataTable与DataTable的关系
onstraint DataTable中建立的约束
ADO.NET各类在开发中的职能
ADO.NET访问数据库的方式(有两种)
方式一:
1.连接数据用Connection
2.执行SQL语句Command
3.执行完毕之后将结果一条一条返回。DataReader
方式二:
使用DataAdapter+DataSet,这种方法本质还是通过Connection、Command、DataReader将数据全部取出来然后放到了DataSet中
实操:
在做项目之前首先要引进命名空间using System.Data.SqlClient;
1.插入数据
主要代码:
static void Main(string[] args)
{
//创建连接字符串
string connstr = "Data Source=.;Initial Catalog=db_buiness;Integrated Security=True";
//打开连接
using (SqlConnection conn = new SqlConnection(connstr))
{
conn.Open();
//执行数据库操作
string sql = "insert into info values('jany',19,'女','123456')";
using (SqlCommand comm = new SqlCommand(sql, conn)) //创建命令对象
{
int i = comm.ExecuteNonQuery(); //执行对数据库的增删改,返回受影响的行数
if (i > 0)
{
Console.WriteLine("插入成功");
}
else
{
Console.WriteLine("插入失败");
}
}
Console.ReadKey();
}
}
结果:
2. 更新数据(删除数据类似于更新数据和插入数据,只是执行的sql语句不一样而已)
static void Main(string[] args)
{
//创建连接字符串
string connstr = "Data Source=.;Initial Catalog=db_buiness;Integrated Security=True";
//打开连接
using (SqlConnection conn = new SqlConnection(connstr))
{
conn.Open();
//执行数据库操作
string sql = "update info set name='rose' where id=4";
using (SqlCommand comm = new SqlCommand(sql, conn)) //创建命令对象
{
int i = comm.ExecuteNonQuery(); //执行对数据库的增删改,返回受影响的行数
if (i > 0)
{
Console.WriteLine("更新成功");
}
else
{
Console.WriteLine("更新失败");
}
}
Console.ReadKey();
}
}
结果:
3.读取数据(运用SqlDataReader)
static void Main(string[] args)
{
//创建连接字符串
string connstr = "Data Source=.;Initial Catalog=db_buiness;Integrated Security=True";
using (SqlConnection conn = new SqlConnection(connstr))
{
conn.Open(); //打开连接
string sqltext = "select * from 职工";
using (SqlCommand comm = new SqlCommand(sqltext, conn))
{
using (SqlDataReader sda = comm.ExecuteReader()) //创建数据读取器,获取SqlDataReader的对象
{
while (sda.Read()) //一条一条来读取
{
Console.WriteLine("职工ID{0},职工号{1},仓库号{2},姓名{3},性别{4},工资{5}", sda[0], sda[1], sda[2], sda[3], sda[4], sda[5]);
}
Console.ReadKey();
}
}
}
结果:
3.DataSet运用(窗体程序)
首先设计窗体界面
主要代码:
private void Form1_Load(object sender, EventArgs e)
{
//创建连接字符串
string connstr = "Data Source=.;Initial Catalog=db_buiness;Integrated Security=True";
//打开连接
using (SqlConnection conn = new SqlConnection(connstr))
{
conn.Open();
//执行数据库操作
string sqltext = "Select * from 职工";
using (SqlCommand comm = new SqlCommand(sqltext, conn)) //创建命令对象
{
DataSet sds = new DataSet(); //创建数据集
using (SqlDataAdapter sda= new SqlDataAdapter(comm) ) //创建数据适配器
{
sda.Fill(sds); //填充数据
}
this.dataGridView1.DataSource =sds.Tables[0]; //绑定数据
}
}
}
结果:
4.用户登录(窗体程序)
窗体界面
主要代码:
private void btnok_Click(object sender, EventArgs e)
{
string user = this.txtname.Text;
string pwd = this.txtpwd.Text;
//创建连接字符串
string connstr = "Data Source=.;Initial Catalog=db_buiness;Integrated Security=True";
//打开连接
using (SqlConnection conn = new SqlConnection(connstr))
{
conn.Open();
//执行数据库操作。 (向SqlCommand的Parameters中添加参数)
string sqltext = "select * from info where name=@user and pwd=@pwd";
SqlParameter sp = new SqlParameter("@user", user);
SqlParameter sp1 = new SqlParameter("@pwd", pwd);
using (SqlCommand cmd = new SqlCommand(sqltext, conn))
{
cmd.Parameters.Add(sp);
cmd.Parameters.Add(sp1);
DataTable dt = new DataTable(); //表示一个内存中数据表
using (SqlDataAdapter sda = new SqlDataAdapter(cmd)) //创建数据适配器
{
sda.Fill(dt); //填充数据
}
if (dt.Rows.Count > 0)
{
MessageBox.Show("登陆成功");
}
else
{
MessageBox.Show("登录失败");
}
}
}
}
private void btnclo_Click(object sender, EventArgs e)
{
this.txtname.Text= "";
this.txtpwd.Text = "";
}
运行结果:
补充:
SQL注入漏洞攻击
登录判断:select * from T_Users where UserName=... and Password=...,将参数拼到SQL语句中。
构造恶意的Password:hello' or 1=1 --
if (dataReader.Read())
{
MessageBox.Show("登陆成功");
}
else
{
MessageBox.Show("登陆失败");
}
防范注入漏洞攻击的方法:不使用SQL语句拼接,通过参数赋值
参数在SQLServer内部不是简单的字符串替换,SQLServer直接用添加的值进行数据比较,因此不会有注入漏洞攻击。(带参数的sql语句内部是调用了存储过程)
呵呵,今天就先写到这里吧。其他的一些知识等用到的时候在记录下来吧。加油!