程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 數據庫知識 >> SqlServer數據庫 >> 關於SqlServer >> 三種操作數據庫的途徑

三種操作數據庫的途徑

編輯:關於SqlServer

       操作數據庫可以分這麼三種,第一種,直接寫硬SQL代碼,不要參數,第二種,直接寫硬代碼,要參數,第三種,調用存儲過程。

      我們以一個登錄模塊為例,現在頁面有兩文本框,一按紐,實現驗證用戶名密碼的功能。第一種方法主要代碼如下:

      SqlConnection conn =new SqlConnection

      ("server=;database=news2;uid=sa;pwd=");

      conn.Open();

      SqlCommand cmd=new SqlCommand();

      cmd.CommandText="select count(*)from users

      where name='"+this.TextBox1.Text+"'and pwd='"+this.TextBox2.Text+"'";cmd.Connection=conn;int i=(int)cmd.ExecuteScalar();Response.Write(i.ToString());if(i==1){Response.Redirect("add.aspx");}else{Label1.Text="error!"}

      第二種途徑

      SqlConnection conn =new SqlConnection("server=;database=news;uid=sa;pwd=");

      conn.Open();//打開數據庫

      SqlCommand cmd=new SqlCommand();//建立命令對象

      cmd.CommandText="select count(*)from users where and ";

      cmd.Connection=conn;//設置連接

      SqlParameter p= new SqlParameter("@name",SqlDbType.Char,10);

      //定義參數

      p.Value=this.TextBox1.Text;

      cmd.Parameters.Add(p);//添加參數到集合

      p= new SqlParameter("@pwd",SqlDbType.Char,10);

      p.Value=this.TextBox2.Text;

      cmd.Parameters.Add(p);

      int i=(int)cmd.ExecuteScalar();

      if(i==1)

      {

      Response.Redirect("add.aspx");}

      else

      {

      Label1.Text="error!"

      }

      第三種途徑

      SqlConnection conn =new SqlConnection("server=;database=news;uid=sa;pwd=");

      conn.Open();//打開數據庫

      SqlCommand cmd=new SqlCommand();//建立命令對象

      cmd.CommandText=" checkLogin";//設置命令文本

      cmd.CommandType=CommandType.StoredProcedure;

      //設置文本類型

      cmd.Connection=conn;//設置連接

      SqlParameter p= new SqlParameter("@name",SqlDbType.Char,10);

      //定義參數

      p.Value=this.TextBox1.Text;

      cmd.Parameters.Add(p);//添加參數到集合

      p= new SqlParameter("@pwd",SqlDbType.Char,10);

      p.Value=this.TextBox2.Text;

      cmd.Parameters.Add(p);

      int i=(int)cmd.ExecuteScalar();

      if(i==1)

      {

      Response.Redirect("add.aspx");}

      else

      {

      Label1.Text="error!"

      }

      接下來對這三種方法做分析:

      第一方法不能防范SQL注入式方式攻擊,比如在第一個文本框輸入asd'or's'='s 第二個同樣輸入asd'or's'='s ,可以發現成功通過驗證。

      第二種直接寫硬SQL代碼,事實上不是每個人都能寫出優良的SQL代碼來,可以由數據庫管理員或工程師來寫,這樣,一方面減輕程序員的工作,另一方面也可以使數據庫與應用程序保持獨立,這樣有利於系統的移植與維護。

      當然第三種是推薦使用的,好處呢!就是前面所寫的。

    1. 上一頁:
    2. 下一頁:
    Copyright © 程式師世界 All Rights Reserved