C#连接与操作数据库的基本使用

ADO.NET中操作数据库

SQL基本增删查改语句：
创建数据库连接对象（SqlConnection类）
执行SQL语句的对象（SqlCommand类）
查询一条或多条数据的对象（SqlDataReader类）
检索和保存数据的对象（SqlDataAdapter类）
创建一个本地数据存储对象（DataSet类）

基本的操作方法关系图解

封装SqlHelper 工具类的使用

1.添加数据库连接字符
数据库连接字符串需要填写在App.config或Web.config文件的节点下

2.在程序中引用连接字符串

在程序中通过ConfigurationManager类来获取连接字符串
public string constr = ConfigurationManager.ConnectionStrings[“connectionStr”].ConnectionString;
3.编写SQL语句

编写需要获取数据的SQL语句，以字符串的方式保存

4.SqlParameter进行参数化替换
在SQL语句中可能需要根据动态参数查询数据，所以使用SqlParameter对象进行参数替换

int id=1;
string sql = “select StuName,StuNum from Student where [email protected]”;
SqlConnection con = new SqlConnection(constr);
SqlCommand cmd = new SqlCommand(sql, con);
SqlParameter par=new SqlParameter("@id", id);
cmd.Parameters.Add(par);

托管资源与费托管资源
托管资源会自动回收。
非托管资源指的是.NET不知道如何回收的资源，最常见的一类非托管资源是包装操作系统资源的对象，例如文件，窗口，网络连接，数据库连接，画刷，图标等
using 关键字不仅有添加命名空间的作用，还有释放非托管资源的作用，数据库连接属于非托管代码，无法自行销毁，使用using可以在该对象在使用完后自动释放。但为了数据安全，通常都会加入try-catch异常处理

SQL注入攻击

在编写SQL字符串时带有查询参数，如果在该参数中给一个为真的条件，数据库就会直接执行，这样就造成安全漏洞，示例代码如下所示：
string name = “张三”;
string sql = “select * from ContentInfo where Name=”+name+"";
当字符串name的值为”1 or 1=1”时，那么sql语句的条件判断就一定为真，此时就会查询出数据库中的所有数据，这就是所谓的SQL注入攻击，解决SQL注入攻击的办法就是通过SqlParameters参数化查询。