SQL Server之 (四) ADO增删查改 登录demo 带参数的sql语句 插入自动返回行号
自己学习笔记,转载请注明出处,谢谢!---酸菜
1.什么是ADO.NET
ADO.NET是一组类库,这组类库可以让我们通过程序的方式访问数据库,并以各种方式操作存储在其中的数据;
ADO.NET是基于.NET FrameWork,与.NET FrameWork类库的其余部分是高度集成的
2.连接数据库的步骤
①创建连接字符串
Data Source=XXX-PC; Initial Catalog=MyDataBase; Integrated Security=True;
连接服务器实例 连接数据库 是否Windows验证登录
Data Source=localhost/192.168.1.1; Initial Catalog=MyDataBase; User ID=sa; Password=123;
连接服务器实例 连接数据库 数据库账户密码验证登录
server=.;database=MyDataBase;uid=sa;pwd=123;----以前的老式写法,现在也在用;
string conn="Data Source=XXX-PC; Initial Catalog=MyDataBase; Integrated Security=True";
②创建连接对象,并把连接字符串传进来;
SqlConnection sqlCon=new SqlConnection(conn); //SqlConnection 是SQL Server的类,其他数据库有对应的类;
③打开连接,测试连接/关闭连接,释放资源;
sqlCon.Open();
sqlCon.Close();
sqlCon.Dispose();
如果在连接时使用using 如:
using (SqlConnection sqlCon=new SqlConnection(conn))
{
sqlCon.Open();
//如果使用using 就不用sqlCon.Close();和sqlCon.Dispose();因为using内部已经写好了Dispose,而SQLConnection中的Dispose中写好了Close,所以两者都不用再写;
}
④创建一个可以执行Sql语句的命令对象
string sql="insert into Users values()";
using(SqlCommand cmd=new SqlCommand()/(sql,sqlCon))
{
//因为SQLCommand对象也需要释放,所以此处用了using.
//如果使用无参的的构造函数,可 cmd.CommandText=sql; cmd.Connection=sqlCon;
}
⑤执行语句
无论执行什么SQL语句,调用以下三个方法都可以执行出来结果,但是通常有使用习惯:
<1> cmd.ExecuteNonQuery();//执行 insert /delete/update 语句时使用;
这个方法返回值是int类型,表示执行insert/delete/update 语句后影响的行数
注意:ExecuteNonQuery()只有执行 insert/delete/update语句时会返回影响行数,执行其他的SQL语句时,永远返回的是-1;
<2>cmd.ExecuteScalar(); //查询单行单列结果集时 使用;
这个方法返回值是object类型,当查询语句是使用聚合函数,那么该方法返回不可能是null值,因为聚合函数返回没有null值;如果不是聚合函数可能返回null值,所以使用返回值之前先判断是否为null;
<3>cmd.ExecuteReader();//查询多行多列结果集时使用;
这个方法返回值是SqlDataReader类型,通过该方法将给定的SQL语句在数据库中执行,但是没有返回给程序,只给程序返回一个reader对象,就是用这个对象来获取数据的.
using (SqlDataReader reader=cmd.ExecuteReader())
{
//需要用reader对象一条一条获取数据
//在获取数据之前,先判断一下本次查询是否查到数据;
if(reader.HasRows)//如果有数据返回true,否则false
{
//有数据,需要用reader一条一条获取
//每次获取数据前,都先调用reader.Read()方法,向后移动一条数据,如果成功移动到一条数据上, 返回true;否则false
while(reader.Read())
{
//获取当前reader指向的数据
//reader.FieldCount 可以查出当前语句查询出来的列数;
for (int i =0;i<reader.fieldcount;i++)
{
Console.WriteLine(reader[i]);
//reader[i];reader.GetValue(i); reader[""]列名称;
//当遇到数据为null值,通过reader.GetValue()或reader[]索引器获取列值,返回的是DBNull.Value 不是C#中的null值,而DBNull.Value.ToString()后是空字符串,所以并不报错;
}
}
}
else
{
Console.WriteLine("没有查到任何数据!");
}
}
<4>DataReader的特点:
只读,只进.只能通过reader读取数据,不能修改.reader只能一条一条向前移动,不能向后,也不能跳跃;
使用reader时必须保证连接是否打开状态.当reader使用完毕后, 必须把reader关闭,释放.同时释放连接对象;
默认情况下, reader独占一个连接对象;
3.获取插入数据的自增列
① insert into Table output inserted.ID(自增列或者要取值的列) values('Hello','英语课');
②insert into Table values('Hello','语文课') select @@identity; 这个相对上面那个 因为@@identity是全局变量 所以可能会出错,取到别人执行的最新的自增列;
4.防SQL注入
①SQL注入:使用SQL拼接的方式不安全,会出现SQL注入的问题;解决方法:使用带参数的SQL语句或者使用存储过程.(带参数的SQL 在SQL执行过程中内部会转为存储过程执行)
②使用带参数的SQL语句;如果SQL语句中有参数(以@符号开头),那么必须给Command对象提供参数和参数的值;
using (SqlCommand cmd=new SqlCommand(sql,con))
{
SqlParameter paramUserID=new SqlParameter("@UserID",SqlDbType.varchar,50){Value=txtUserId.Text.Trim()}; //使用对象初始化器
SqlParameter parampwd=new SqlParameter("@pwd",SqlDbType.varchar,50){Value=txtpwd.Text.Trim()}; //使用对象初始化器
cmd.Parameters.Add(paramUserID);
cmd.Parameters.Add(parampwd);
con.Open();
int t=(int) cmd.ExecuteScalar();
if(t>0){}
}
推荐简化版:
SqlParamerter [] params=new SqlParameter[]{
new SqlParameter ("@UserID",SqlDbType.Varchar,50){Value=txtUserID.Text}),
new SqlParameter("@pwd",SqlDbType.Varchar,50){Value=txtpwd.Text}) }
cmd.Parameters.AddRange(params);
另一种不推荐方法:
cmd.Parameters.AddWithValue("@UserID",txtUserId.Text);
cmd.Parameters.AddWithValue("@pwd",txtpwd.Text);
注:所有对数据库引擎的操作在这里都可以监视到 工具→SQL Server Profiler(SQL Server事件探查器)→连接→运行.
![[vijos1162]波浪数](https://images.cnblogs.com/OutliningIndicators/ContractedBlock.gif)
![在ASP.NET中防止注入攻击[翻译]](https://www.cnblogs.com/Images/OutliningIndicators/None.gif)
