SQLServer数据访问

两大类数据访问方式：

1.轻量级：SqlConnection,SqlCommand,SqlDataReader

2.重量级（内存占用量比较大）：SqlConnection,SqlDataAdapter,DataTable

步骤：

         1、建立链接对象——建一个通向数据库的通道。

         2、打开通道

         3、操作数据库

         4、关闭通道

五大对象：

链接对象，命令对象，读取器对象，适配器对象，数据集(数据表)

对象介绍：

命名空间：

         操作SQLServer数据库：

                  using System.Data;

                  using System.Data.SqlClient;     //针对SqlServer进行优化了的数据访问类的空间

                  System.Data.OleDB;System.Data.ODBC;    //命名空间通用数据访问类的空间。

ODBC——Open DataBase Connection开放式数据互联

一、连接对象（SqlServer）：SqlConnection

（一）构造：

         SqlConnection()

         SqlConnection(连接字符串)

连接字符串的写法。

         第一种：手写 "server=.;database=mydb;uid=sa;pwd=sa";

         第二种：使用服务器资源管理器，通过添加链接用可视化界面生成链接对象，通过查看属性来获得连接字符串。（菜单栏中“视图”→“服务器资源管理器”→右键→“添加连接”→选择“Sql Server”→VS窗口右边的“属性”→“链接字符串”）

（二）属性：

         ConnectionString：字符串，设置或获取链接对象的连接字符串。

         State：ConnectionState枚举类型，返回当前连接状态。

（三）方法：

         Open()：void，打开连接

         Close()：void，关闭连接

         CreateCommand()：SqlCommand，创建命令对象，生成一个通过本链接对象来访问数据库的SqlCommand实例。（好处是，不用对命令对象单独设置Connection属性）

（四）代码：

         SqlConnection conn = new      SqlConnection("server=.;database=mydb;uid=sa;pwd=sa");//创建连接通道

         try

         {

                   conn.Open();

                   ....

         }

         finally

         {

                   conn.Close();

         }

如何在App.Config配置文件中配置数据库连接字符串

<?xml version="1.0" encoding="utf-8" ?>

<configuration>

  <connectionStrings>

    <add name="sql" connectionString="server=.\sqlexpress;database=mydb;uid=sa;pwd=sa"/>

  </connectionStrings>

 读取App.Config中的链接字符串

    public class DBConnection

    {

        public static SqlConnection Connection

        {

            get

            {

                //从配置文件中读取链接字符串

                string connectionString = ConfigurationManager.ConnectionStrings["sql"].ConnectionString;

                SqlConnection conn = new SqlConnection(connectionString);

                return conn;

            }

        }

    }

 string connectionString = ConfigurationManager.ConnectionStrings["sql"].ConnectionString;

 注意：  1.需要添加System.Configuration引用。

           2.需using System.Configuration命名空间。

二、命令对象（SqlServer）：SqlCommand

（一）构造：

         SqlCommand()

         SqlCommand(string sql)

         SqlCommand(string sql,SqlConnection conn)

         conn.CreateCommand()    //通过连接通道创建命令对象。

（二）属性：

         CommandText    //string，要执行的SQL命令——SQL语句，存储过程名。

         CommandType    //Commandtype，枚举类型

                   CommandType.Text    //SQL语句（默认）。

                  CommandType.StoredProcedure    //存储过程。

                   如何调用存储过程？

                   1.把CommandText赋为存储过程的名。

                   2.把CommandType赋为CommandType.StoredProcedure。

                   3.使用cmd.Parameters.AddWithValue()为存储过程参数赋值。

         Connection    //SqlConnection对象。执行命令时，所使用连接对象。

         Parameters    //SqlParameterCollection，当CommandText中使用SqlServer局问变量时，需要通过该属性来对变量赋值。

（三）方法：

         ExecuteNonQuery();    //int，执行SQL命令，返回影响的行数。一般用来执行增、删、改

         ExecuteReader();    //SqlDataReader，执行SQL命令，返回数据读取器。一般用来执行查询

         ExecuteScalar();    //object，执行SQL命令，返回首行首列，一般用来执行统计（count(),sum(),avg(),max(),min()）查询的。

                   例：int count=(int)ExecuteScalar();

（四）重要代码：

SqlConnection conn = new SqlConnection("server=.;database=mydb;uid=sa;pwd=sa");    //创建连接

//SqlCommand cmd = new SqlCommand();

//cmd.Connection = conn;

SqlCommand cmd = conn.CreateCommand();     //创建命令对象

//设置命令的类型

cmd.CommandType = CommandType.Text;    //如果要调用存储过程：cmd.CommandType = CommandType.StoredProcedure;

//指定SQL命令

cmd.CommandText = "insert into nation values(@code,@name) ";

//添加命令参数

cmd.Parameters.AddWithValue("@code","n005");

cmd.Parameters.AddWithValue("@name","壮族");    //为SQL命令中的变量赋值。下面为另一种变量赋值方式

//SqlParameter paramCode = new SqlParameter("@code","n005");

//cmd.Parameters.Add(paramCode);

//SqlParameter paramName = new SqlParameter("@name","壮族");

//cmd.Parameters.Add(paramName);

try

{

         conn.Open();

         cmd.ExecuteNonQuery();

}

finally

{

         conn.Close();

}

　　　　SQL注入攻击，原理分析及对策（单引号替换，使用SQL局部变量）。

                   所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

                   规避办法：

                   1.把单引号替换成双引号；

                   2.修改查询语句，使用SQLSERVER的局部变量来传递参数。(使用cmd.Parameters.AddWithValue()来解决)

三、读取器对象(SqlServer)：SqlDataReader

         只读，只向前的数据读取对象。

         它不是结果集，它内存中只占一条数据的空间。每次读取下一条时，会把内存中当前条的内容覆盖。

（一）构造：

         不能直接new出来，原因是，它的构造函数是非public的。

         只有唯一的生成方式：cmd.ExecuteReader([CommandBehavior.CloseConnection]);

                  例：SqlDataReader dr = cmd.ExecuteReader();

（二）属性：

         .HasRows    //返回bool型数据，判断读取器中是否查出数据。

（三）方法：

         .Read();    //读取下一条数据到内存中来。返回bool型数据。

         .Close();    //关闭读取器。一般不会关闭链接，但如果读取器生成的时候Command对象的ExecuteReader()方法中带有CommandBehavior枚举型参数的话，可能把连接也给关掉。

         dr[“列名”];    //读取内存中当前SqlDataReader对象中的某列数据，读出来的数据是Object类型。

         dr[索引号];    //读取内存中当前SqlDataReader对象中的某列数据，读出来的数据是Object类型。

         dr.GetString(索引号),dr.Getint(索引号)……

（四）重要代码：

    string connectionString = @"server=.\sqlexpress;database=mydb;uid=sa;pwd=sa";

    SqlConnection conn = new SqlConnection(connectionString);

    SqlCommand cmd = new SqlCommand();

    cmd.Connection = conn;

    cmd.CommandText = "select * from info";

    conn.Open();

    SqlDataReader dr = cmd.ExecuteReader();

    while (dr.Read())

    {

        Console.WriteLine(dr["Code"].ToString()+dr["Name"].ToString());

    }

         conn.Close();

注意事情：

1.登录判断。

         查询返回SqlDataReader，使用HasRows属性来判断是否查出记录来，登录是否成功。

SqlDataReader dr = cmd.ExecuteReader();

if(dr.HasRows)

{

}

2.查询多行数据出来，演示多行显示

SqlDataReader dr = cmd.ExecuteReader();

while(dr.Read())

{

         Console.WriteLine(dr["列名"].ToString()+(bool)dr[1]);  //dr[常用的两种方式];dr[0],dr["列名"]返回的都是object

}

四、DataTable/DataSet

         DataSet相当于内存中的数据库，其中包括多个DataTable。

         DataTable相当于内存中的数据表。其中包括两个最重要的属性：Rows（DataRowCollection）,Columns（DataColumnCollection）。分表代表：表的行集合和列集合。

（一）手动造DataTable

//造表

DataTable table = new DataTable();

//造列

DataColumn col1 = new DataColumn("列名","类型","长度");

DataColumn col2 = new DataColumn("列名","类型","长度");

DataColumn col3 = new DataColumn("列名","类型","长度");

table.Columns.Add(col1);

table.Columns.Add(col2);

table.Columns.Add(col3);

//造行

DataRow row1 = table.NewRow(); //用表对象来生成行结象

row1[0] = "";

row1["列名"] = "";

row1[2] = "";

table.Rows.Add(row1);

DataRow row2 = table.NewRow(); //用表对象来生成行结象

row2[0] = "";

row2["列名"] = "";

row2[2] = "";

table.Rows.Add(row2);

DataRow row3 = table.NewRow(); //用表对象来生成行结象

row3[0] = "";

row3["列名"] = "";

row3[2] = "";

table.Rows.Add(row3);

假设表中已经查出数据来了，我要取某个数据，怎么取法？

例如：假设查出一个数据表table的数据来。

1.我要操作第3行第5列的数据。（假设我从1开始数的列号和行号）。不能先读取列，因为一行才是一条完整的记录。

string s = table.Rows[2][4].ToString(); //取值

table.Rows[2][4] = "hello world";//赋值

2.我要操作所有的数据

for(int i=0;i<table.Rows.Count;i++)

{

         for(int j=0;j<table.Columns.Count;j++)

         {

                   Console.Write(table.Rows[i][j].ToString());

         }

}

3.控件绑定：

xxx.DataSource = table;

（二）使用可视化界面造

五、数据适配器对象：SqlDataAdapter

适本器对象中包含四大SqlCommand属性：

         SelectCommand

         InsertCommand

         DeleteCommand

         UpdateCommand

两大方法：

         Fill(DataTable/DataSet)

         Update(DataTable/DataSet)

数据访问有两种不同的方式，一种是用Connection, Command , DataReader来进行数据对数据的操作，另一种是用DataAdapter（适配器）来进行数据操作，而数据则一般放在内存中的数据集合DataSet，这种方式可以在内存中对数据操作，然后在合适的时间再将修改传到数据库。

（一）手写代码操作（简单了解）

（二）可视化界面操作。

1、建立数据集。

         1）、在解决方案上点右键→“添加”→“新建项”→在左侧“数据”列表中找到“数据集”

         2）、在服务器资源管理器中添加连接

         3）、在数据库中找到需要的表，然后选中并拖动到右侧的数据集中

2、在数据集中添加新查询

         1）、选中一个TableAdapter，右键→“配置”→打开“高级选项”→去掉后两项

         2）、右键TableAdapter→“添加查询”→“使用SQL语句”→选择SQL语句类型→编写SQL语句→修改方法名称→完成

3、使用

         1）、 造适配器对象：

                   InfoTableAdapter info = new InfoTableAdapter();

         2）、造内存表对象

                   Mydb.InfoDataTable table = new Mydb.InfoDataTable();

         3）、 查询返回

                   table = info.GetData();

         4）、修改

                   InfoTableAdapter adp = new InfoTableAdapter();

                   info.UpdateBycode(name, sex, nation, birthday, code);

数据访问相关类的封装：连接类，实体类，数据访问类

装箱与拆箱：Boxing,Unboxing

         值类型数据与引用类型数据之间的转化。

装箱：把数据从值类型变成引用类型；把数据由栈空间转型到堆空间。

拆箱：把数据从引用类型变成值类型；把数据由堆空间转型到栈空间。

                   int n = 19;

                   object obj = n;  //装箱

                   n = 20;

                   int m = (int)obj;//拆箱

有什么坏处？

装箱：占空间，占时间，运行慢。

拆箱：占用时间，可能出现类型异常