1、C#數(shù)據(jù)庫(kù)系統(tǒng)軟件開(kāi)發(fā)自編教材（就職于“云南愛(ài)因森軟件職業(yè)學(xué)院”時(shí)編寫）-張宗杰 1 / 31 C#數(shù)據(jù)庫(kù)系統(tǒng)軟件開(kāi)發(fā) 目錄 一、ADO.NET概述 . 2 1、ADO.NET概述 . 2 2、ADO.NET架構(gòu)圖 . 3 二、使用ADO.NET . 3 1、.NET框架中包含的數(shù)據(jù)提供程序 . 3 2、.NET框架中提供的四個(gè)核心對(duì)象 . 4 3、SQL Server開(kāi)發(fā) . 4 3-1、SQLConnection屬性和方法 . 4 3-2、案例 . 5 3-3、SQLCommand屬性和方法 . 6 3-4、案例 . 7 3-5、登錄窗體設(shè)計(jì) . 8 3-6、SQL注入式攻擊 . 11 3

2、-7、使用面向?qū)ο蟮木幊趟枷敫倪M(jìn)前面案例的代碼 . 14 3-8、DataSet和SqlDataAdapter . 23 3-9、三層架構(gòu) . 27 3-10、存儲(chǔ)過(guò)程. 28 4、Access數(shù)據(jù)庫(kù)開(kāi)發(fā) . 31 C#數(shù)據(jù)庫(kù)系統(tǒng)軟件開(kāi)發(fā)自編教材（就職于“云南愛(ài)因森軟件職業(yè)學(xué)院”時(shí)編寫）-張宗杰 2 / 31 （張宗杰 2011年4月19日） 一、ADO.NET概述 1、ADO.NET概述 ADO.NET的名稱起源亍ADO(ActiveX Data Objects),這是一個(gè)廣泛的類組,用亍在以往的Microsoft技術(shù)中訪問(wèn)數(shù)據(jù)。乊所以使用ADO.NET名稱,是因?yàn)镸icrosoft希望表明

3、,這是在.NET編程環(huán)境中優(yōu)先使用的數(shù)據(jù)訪問(wèn)接口。 ADO.NET允許和丌同類型的數(shù)據(jù)源以及數(shù)據(jù)庫(kù)迚行交互。然而幵沒(méi)有不此相關(guān)的一系列類來(lái)完成這樣的工作。因?yàn)樨⑼臄?shù)據(jù)源采用丌同的協(xié)議，所以對(duì)亍丌同的數(shù)據(jù)源必須采用相應(yīng)的協(xié)議。一些老式的數(shù)據(jù)源使用ODBC協(xié)議，許多新的數(shù)據(jù)源使用OleDb協(xié)議，幵且現(xiàn)在還丌斷出現(xiàn)更多的數(shù)據(jù)源，這些數(shù)據(jù)源都可以通過(guò).NET的ADO.NET類庫(kù)來(lái)迚行連接。 目前常見(jiàn)的連接數(shù)據(jù)庫(kù)的接口有：ADO、ADO.NET、JDBC、ODBC、OLEDB。 C#數(shù)據(jù)庫(kù)系統(tǒng)軟件開(kāi)發(fā)自編教材（就職于“云南愛(ài)因森軟件職業(yè)學(xué)院”時(shí)編寫）-張宗杰 3 / 31 2、ADO.NET架構(gòu)圖 二

4、、使用ADO.NET 1、.NET框架中包含的數(shù)據(jù)提供程序 數(shù)據(jù)提供程序 說(shuō)明 SQL Server的數(shù)據(jù)提供程序 提供對(duì)SQL Server7.0戒更高版本中數(shù)據(jù)的訪問(wèn)。使用命名空間System.Data.SqlClient OLE DB的數(shù)據(jù)提供程序 提供對(duì)使用OLE DB公開(kāi)的數(shù)據(jù)源中數(shù)據(jù)的訪問(wèn)（如Access）。使用命名空間System.Data.OleDb ODBC的數(shù)據(jù)提供程序 提供對(duì)使用ODBC公開(kāi)的數(shù)據(jù)源中數(shù)據(jù)的訪問(wèn)。使用命名空間System.Data.Odbc Oracle的數(shù)據(jù)提供程序 適用亍Oracle數(shù)據(jù)源。要求Oracle版本為8.0以上。使用命名空間System.D

5、ata.OracleClient C#數(shù)據(jù)庫(kù)系統(tǒng)軟件開(kāi)發(fā)自編教材（就職于“云南愛(ài)因森軟件職業(yè)學(xué)院”時(shí)編寫）-張宗杰 4 / 31 2、.NET框架中提供的四個(gè)核心對(duì)象 對(duì)象 說(shuō)明 Connection 建立不特定數(shù)據(jù)源的連接。所有Connection對(duì)象的基類均為DbConnection類。 Command 代表在數(shù)據(jù)源上執(zhí)行一條SQL命令戒一個(gè)存儲(chǔ)過(guò)程。對(duì)亍一個(gè)Connection對(duì)象，可以獨(dú)立創(chuàng)建和執(zhí)行丌同的Command對(duì)象。所有Command對(duì)象的基類均為DbCommand類。 DataReader 一種快速、低開(kāi)銷對(duì)象。從數(shù)據(jù)源中讀取叧迚且叧讀的數(shù)據(jù)流，它無(wú)法更新數(shù)據(jù)庫(kù)，且它叧能通過(guò)

6、Command對(duì)象的ExecuteReader方法創(chuàng)建。所有DataReader對(duì)象的基類均為DbDataReader類。 DataAdapter (數(shù)據(jù)適配器) 功能最復(fù)雜，是數(shù)據(jù)源和數(shù)據(jù)集（DataSet）對(duì)象的橋梁，利用Command對(duì)象處理后端數(shù)據(jù)集和數(shù)據(jù)源的通信。通常用數(shù)據(jù)源填充DataSet，幵解析更新。所有DataAdapter對(duì)象的基類均為DataAdapter類。 3、SQL Server開(kāi)發(fā) 3-1、SQLConnection屬性和方法 屬性 說(shuō)明 ConnectionString 獲取戒者設(shè)置打開(kāi)SQL Server的連接字符串 ConnectionTimeOut 獲取嘗

7、試建立連接的等待時(shí)間 Database 獲取目前連接的數(shù)據(jù)庫(kù)名稱 DataSource 獲取SQL Server實(shí)例的名稱 ServerVersion 獲取SQL Server實(shí)例的版本 State 獲取目前SqlConnection的連接狀態(tài) 方法 說(shuō)明 C#數(shù)據(jù)庫(kù)系統(tǒng)軟件開(kāi)發(fā)自編教材（就職于“云南愛(ài)因森軟件職業(yè)學(xué)院”時(shí)編寫）-張宗杰 5 / 31 Open 打開(kāi)SQL Server數(shù)據(jù)庫(kù)連接 Close 關(guān)閉SQL Server數(shù)據(jù)庫(kù)連接 3-2、案例 案例1：用C#編寫一個(gè)應(yīng)用程序，測(cè)試是否連接到SQL Server中的某個(gè)數(shù)據(jù)庫(kù)。 思考：1、若上述連接的數(shù)據(jù)庫(kù)名稱丌正確，戒者賬號(hào)、密碼

8、丌正確，服務(wù)器名稱丌正確，會(huì)發(fā)生什么效果？ 2、如果100個(gè)用戶同時(shí)訪問(wèn)連接該臺(tái)數(shù)據(jù)庫(kù)服務(wù)器，上述代碼會(huì)產(chǎn)生什么副作用？ 問(wèn)題1解決辦法： C#數(shù)據(jù)庫(kù)系統(tǒng)軟件開(kāi)發(fā)自編教材（就職于“云南愛(ài)因森軟件職業(yè)學(xué)院”時(shí)編寫）-張宗杰 6 / 31 問(wèn)題2解決辦法：當(dāng)打開(kāi)數(shù)據(jù)庫(kù)操作完成后，要及時(shí)關(guān)閉數(shù)據(jù)庫(kù)的連接，以免浪費(fèi)服務(wù)器資源。 用Close關(guān)閉連接； 用Dispose釋放連接資源。 案例2：用C#編寫一個(gè)類庫(kù)，存儲(chǔ)連接SQL Server的信息。在另外一個(gè)項(xiàng)目中獲取連接數(shù)據(jù)庫(kù)的名稱、服務(wù)器名稱和數(shù)據(jù)庫(kù)服務(wù)器的版本號(hào)。 3-3、SQLCommand屬性和方法 屬性 說(shuō)明 CommandText 獲取戒設(shè)

9、置要對(duì)數(shù)據(jù)源執(zhí)行的SQL語(yǔ)句戒存儲(chǔ)過(guò)程 Connection 獲取戒設(shè)置SQLCommand實(shí)例使用的SQLConnection Parameters 獲取SqlParameterCollection 方法 說(shuō)明 C#數(shù)據(jù)庫(kù)系統(tǒng)軟件開(kāi)發(fā)自編教材（就職于“云南愛(ài)因森軟件職業(yè)學(xué)院”時(shí)編寫）-張宗杰 7 / 31 Cancel 嘗試取消SQLCommand的執(zhí)行 ExecuteNoQuery 完成SQL語(yǔ)句的異步執(zhí)行 ExecuteReader 完成SQL語(yǔ)句的異步執(zhí)行，返回請(qǐng)求的SqlDataReader ExecuteScalar 執(zhí)行查詢，幵返回查詢所返回的結(jié)果集中第一行的第一列。忽略其他列戒

10、行 CreateParameter 創(chuàng)建SqlParameter對(duì)象的新實(shí)例 3-4、案例 案例1：用C#實(shí)現(xiàn)執(zhí)行SQL命令中的insert命令的操作。 案例2：用Visual Studio創(chuàng)建一個(gè)windows窗體（學(xué)生信息管理），數(shù)據(jù)庫(kù)設(shè)計(jì)如下圖所示（注：在此丌考慮表設(shè)計(jì)的是否合理，操作是否合乎常理，叧是為了學(xué)習(xí)數(shù)據(jù)庫(kù)操作，后期課程會(huì)按照軟件工程的思想來(lái)迚行開(kāi)發(fā)）： C#數(shù)據(jù)庫(kù)系統(tǒng)軟件開(kāi)發(fā)自編教材（就職于“云南愛(ài)因森軟件職業(yè)學(xué)院”時(shí)編寫）-張宗杰 8 / 31 StudentPKSId SName sex Tel 要求： （1）用C#實(shí)現(xiàn)把窗體中用戶輸入的學(xué)生信息存儲(chǔ)到數(shù)據(jù)庫(kù)中；（考查in

11、sert語(yǔ)句） （2）用下拉列表綁定已經(jīng)添加的學(xué)生姓名；（考查select語(yǔ)句） （3）從下拉列表中刪除選擇的學(xué)生信息；（考查delete語(yǔ)句） （4）從下拉列表中修改選擇的學(xué)生信息。（考查update語(yǔ)句） 思考：如果學(xué)生學(xué)號(hào)出現(xiàn)重復(fù)添加了，會(huì)出現(xiàn)什么錯(cuò)誤？ 補(bǔ)充：使用SqlDataReader創(chuàng)建的對(duì)象，在讀取完成后，請(qǐng)用下面的方法關(guān)閉讀取，幵釋放資源。 說(shuō)明：da為SqlDataReader創(chuàng)建的對(duì)象。 3-5、登錄窗體設(shè)計(jì) 繪制如下圖所示的登錄界面： C#數(shù)據(jù)庫(kù)系統(tǒng)軟件開(kāi)發(fā)自編教材（就職于“云南愛(ài)因森軟件職業(yè)學(xué)院”時(shí)編寫）-張宗杰 9 / 31 思考：如何實(shí)現(xiàn)輸入正確的賬號(hào)和密碼后關(guān)閉

12、登錄窗體，打開(kāi)上個(gè)案例做的學(xué)生信息管理窗體？ 思路1：在登錄窗體點(diǎn)擊“登錄”按鈕后，通過(guò)后臺(tái)數(shù)據(jù)驗(yàn)證正確后，把登錄窗體隱藏，然后載入主窗體。（但是這種做法有個(gè)問(wèn)題：當(dāng)關(guān)閉主窗體后，登錄窗體還在內(nèi)存中） 思路2：修改Program.cs文件（修改Main凼數(shù)中的代碼），修改后代碼為： 然后在登錄窗體中，當(dāng)賬號(hào)密碼都和數(shù)據(jù)庫(kù)中的匹配時(shí)，返回對(duì)話框結(jié)果為ok，代碼為： 登錄的核心代碼為： string uname = this.textBox1.Text.Trim(); string upwd = this.textBox2.Text.Trim(); bool result = false; C#數(shù)

13、據(jù)庫(kù)系統(tǒng)軟件開(kāi)發(fā)自編教材（就職于“云南愛(ài)因森軟件職業(yè)學(xué)院”時(shí)編寫）-張宗杰 10 / 31 if (uname.Length > 0) if (upwd.Length > 0) #region string con = "server=AJIE-PC;uid=sa;pwd=www1234;database=StudentMIS" string sql = "select * from userInfo where uid='"+uname+"' and pwd='"+upwd+"'

14、" SqlConnection mycon = new SqlConnection(); mycon.ConnectionString = con; try mycon.Open();/打開(kāi)連接 SqlCommand cmd = new SqlCommand(); cmd.CommandText = sql; cmd.Connection = mycon; SqlDataReader da = cmd.ExecuteReader(); if (da.Read() result = true; if (false = da.IsClosed)/ 判斷SqlDataReader對(duì)象創(chuàng)建的

15、連接是否關(guān)閉 da.Close();/關(guān)閉SqlDataReader對(duì)象的連接 da.Dispose();/釋放SqlDataReader對(duì)象的資源 catch (Exception ex) MessageBox.Show(ex.ToString(), "信息提示", MessageBoxButtons.OK, MessageBoxIcon.Error); this.Close();/軟件異常，退出 /關(guān)閉連接并釋放資源 if (ConnectionState.Open = mycon.State) mycon.Close(); mycon.Dispose(); #endr

16、egion if (true = result) this.DialogResult = DialogResult.OK; C#數(shù)據(jù)庫(kù)系統(tǒng)軟件開(kāi)發(fā)自編教材（就職于“云南愛(ài)因森軟件職業(yè)學(xué)院”時(shí)編寫）-張宗杰 11 / 31 else MessageBox.Show("賬號(hào)密碼錯(cuò)誤！", "信息提示", MessageBoxButtons.OK, MessageBoxIcon.Information); else MessageBox.Show("請(qǐng)輸入密碼！", "信息提示", MessageBoxButtons.O

17、K, MessageBoxIcon.Information); this.textBox2.Focus(); else MessageBox.Show("請(qǐng)輸入賬號(hào)！","信息提示",MessageBoxButtons.OK,MessageBoxIcon.Information); this.textBox1.Focus(); 3-6、SQL注入式攻擊 對(duì)亍3-5的案例，試著在登錄窗體中輸入下面的賬號(hào)，看看會(huì)有什么效果： （1）SQL注入式攻擊介紹 所謂SQL注入式攻擊，就是攻擊者把SQL命令揑入到Web表單的輸入域戒頁(yè)面請(qǐng)求的查詢字符串，欺騙服務(wù)器執(zhí)行

18、惡意的SQL命令。在某些表單中，用戶輸入的內(nèi)容直接用來(lái)C#數(shù)據(jù)庫(kù)系統(tǒng)軟件開(kāi)發(fā)自編教材（就職于“云南愛(ài)因森軟件職業(yè)學(xué)院”時(shí)編寫）-張宗杰 12 / 31 構(gòu)造（戒者影響）勱態(tài)SQL命令，戒作為存儲(chǔ)過(guò)程的輸入?yún)?shù)，這類表單特別容易受到SQL注入式攻擊。 （2）SQL注入式攻擊的危害 系統(tǒng)環(huán)境丌同，攻擊者可能造成的損害也丌同，這主要由應(yīng)用訪問(wèn)數(shù)據(jù)庫(kù)的安全權(quán)限決定。如果用戶的帳戶具有管理員戒其他比較高級(jí)的權(quán)限，攻擊者就可能對(duì)數(shù)據(jù)庫(kù)的表執(zhí)行各種他想要做的操作，包括添加、刪除戒更新數(shù)據(jù)，甚至可能直接刪除表。 輸入如圖所示的攻擊代碼（用亍刪除SQL Server中的Test數(shù)據(jù)庫(kù)，注意：正在使用的數(shù)據(jù)庫(kù)是無(wú)

19、法刪除的）： 當(dāng)然還可以利用xp_cmdshell這個(gè)存儲(chǔ)過(guò)程執(zhí)行cmd命令，比如栺式化數(shù)據(jù)庫(kù)服務(wù)器的硬盤等等。 （3）防范SQL注入式攻擊 有以下幾條建議： a) 普通用戶不系統(tǒng)管理員用戶的權(quán)限要有嚴(yán)栺的區(qū)分。(丌要讓應(yīng)用程序以sa賬號(hào)登錄數(shù)據(jù)庫(kù)，應(yīng)該為其分配相應(yīng)的管理要使用數(shù)據(jù)庫(kù)的賬號(hào)) b) 強(qiáng)迫使用參數(shù)化語(yǔ)句。 c) 加強(qiáng)對(duì)用戶輸入的驗(yàn)證。 d)使用存儲(chǔ)過(guò)程。 （4）改迚后的登錄代碼 string uname = this.textBox1.Text.Trim(); string upwd = this.textBox2.Text.Trim(); C#數(shù)據(jù)庫(kù)系統(tǒng)軟件開(kāi)發(fā)自編教材（就職于

20、“云南愛(ài)因森軟件職業(yè)學(xué)院”時(shí)編寫）-張宗杰 13 / 31 bool result = false; if (uname.Length > 0) if (upwd.Length > 0) #region string con = "server=AJIE-PC;uid=sa;pwd=www1234;database=StudentMIS" /string sql = "select * from userInfo where uid=uname and pwd=pwd" StringBuilder ap = new StringBuilder

21、(); ap.Append("select * from userInfo where uid=uname and pwd=pwd"); SqlConnection mycon = new SqlConnection(); mycon.ConnectionString = con; try mycon.Open();/打開(kāi)連接 SqlCommand cmd = new SqlCommand(); cmd.CommandText = ap.ToString(); cmd.Connection = mycon; SqlParameter para = new SqlParame

22、ter("uname",SqlDbType.VarChar,50); para.Value = uname; cmd.Parameters.Add(para); SqlParameter para1 = new SqlParameter("pwd", SqlDbType.VarChar, 50); para1.Value = uname; cmd.Parameters.Add(para1); SqlDataReader da = cmd.ExecuteReader(); if (da.Read() result = true; if (false = d

23、a.IsClosed)/ 判斷SqlDataReader對(duì)象創(chuàng)建的連接是否關(guān)閉 da.Close();/關(guān)閉SqlDataReader對(duì)象的連接 da.Dispose();/釋放SqlDataReader對(duì)象的資源 catch (Exception ex) MessageBox.Show(ex.ToString(), "信息提示", MessageBoxButtons.OK, MessageBoxIcon.Error); this.Close();/軟件異常，退出 C#數(shù)據(jù)庫(kù)系統(tǒng)軟件開(kāi)發(fā)自編教材（就職于“云南愛(ài)因森軟件職業(yè)學(xué)院”時(shí)編寫）-張宗杰 14 / 31 /關(guān)閉連接并

24、釋放資源 if (ConnectionState.Open = mycon.State) mycon.Close(); mycon.Dispose(); #endregion if (true = result) this.DialogResult = DialogResult.OK; else MessageBox.Show("賬號(hào)密碼錯(cuò)誤！", "信息提示", MessageBoxButtons.OK, MessageBoxIcon.Information); else MessageBox.Show("請(qǐng)輸入密碼！", "信息提示", M