操作數據庫可以分這麼三種,第一種,直接寫硬SQL代碼,不要參數,第二種,直接寫硬代碼,要參數,第三種,調用存儲過程。
我們以一個登錄模塊為例,現在頁面有兩文本框,一按紐,實現驗證用戶名密碼的功能。第一種方法主要代碼如下:
SqlConnection conn =new SqlConnection
("server=;database=news2;uid=sa;pwd=");
conn.Open();
SqlCommand cmd=new SqlCommand();
cmd.CommandText="select count(*)from users
where name='"+this.TextBox1.Text+"'and pwd='"+this.TextBox2.Text+"'";cmd.Connection=conn;int i=(int)cmd.ExecuteScalar();Response.Write(i.ToString());if(i==1){Response.Redirect("add.aspx");}else{Label1.Text="error!"}
第二種途徑
SqlConnection conn =new SqlConnection("server=;database=news;uid=sa;pwd=");
conn.Open();//打開數據庫
SqlCommand cmd=new SqlCommand();//建立命令對象
cmd.CommandText="select count(*)from users where and ";
cmd.Connection=conn;//設置連接
SqlParameter p= new SqlParameter("@name",SqlDbType.Char,10);
//定義參數
p.Value=this.TextBox1.Text;
cmd.Parameters.Add(p);//添加參數到集合
p= new SqlParameter("@pwd",SqlDbType.Char,10);
p.Value=this.TextBox2.Text;
cmd.Parameters.Add(p);
int i=(int)cmd.ExecuteScalar();
if(i==1)
{
Response.Redirect("add.aspx");}
else
{
Label1.Text="error!"
}
第三種途徑
SqlConnection conn =new SqlConnection("server=;database=news;uid=sa;pwd=");
conn.Open();//打開數據庫
SqlCommand cmd=new SqlCommand();//建立命令對象
cmd.CommandText=" checkLogin";//設置命令文本
cmd.CommandType=CommandType.StoredProcedure;
//設置文本類型
cmd.Connection=conn;//設置連接
SqlParameter p= new SqlParameter("@name",SqlDbType.Char,10);
//定義參數
p.Value=this.TextBox1.Text;
cmd.Parameters.Add(p);//添加參數到集合
p= new SqlParameter("@pwd",SqlDbType.Char,10);
p.Value=this.TextBox2.Text;
cmd.Parameters.Add(p);
int i=(int)cmd.ExecuteScalar();
if(i==1)
{
Response.Redirect("add.aspx");}
else
{
Label1.Text="error!"
}
接下來對這三種方法做分析:
第一方法不能防范SQL注入式方式攻擊,比如在第一個文本框輸入asd'or's'='s 第二個同樣輸入asd'or's'='s ,可以發現成功通過驗證。
第二種直接寫硬SQL代碼,事實上不是每個人都能寫出優良的SQL代碼來,可以由數據庫管理員或工程師來寫,這樣,一方面減輕程序員的工作,另一方面也可以使數據庫與應用程序保持獨立,這樣有利於系統的移植與維護。
當然第三種是推薦使用的,好處呢!就是前面所寫的。
