ASP.NET动态网站制作（23）-- ADO.NET（2）

前言：这节课老师请高级班的E老师过来代课，还是接着老师讲的内容继续深入，修改了上节课老师写的部分代码。

内容：

　　1.数据库本质就是一个软件，这个软件帮助我们把数据有序地存储起来，当我们需要数据的时候帮我们快速地把数据找到。程序要和数据库进行交互，需要一些连接的纽带，需要数据库开一个门给我们，我们才能拿到东西，这一功能主要依靠ADO.NET来实现。

　　2.数据库的操作主要分为“增删改查”，简记为：CRUD(Create，Read，Update，Delete)。

　　3.连接字符串：web.config里面配置：

 <connectionStrings>
     <add name="Student" connectionString="Database=Student;Server=.;Integrated Security=false;Uid=sa;Password=123;" providerName="System.Data.SqlClient"/>
 </connectionStrings>

　　其中的name和database后的名字最好相同。

　　4.Connection对象：

 SqlConnection connection = new SqlConnection(connectionStringBuilder.ToString());//创建对象
2 connection.Open();//打开连接
3 connection.Close();//关闭连接
4 connection.Dispose();//释放资源

　　当然，也可以使用using()来释放资源：using()内的对象必须是继承自IDisposable接口的。

 using (SqlDataReader reader = cmd.ExecuteReader())
 {
     if (reader.Read())
     {
         Response.Write("<script>alert('登录成功')</script>");
     }
     else
     {
         Response.Write("<script>alert('用户名或者密码错误')</script>");
     }
 }        

　　5.Command对象：

 ExecuteNonQuery: 执行增删改语句，返回值为该命令所影响的行数。
 ExecuteReader: 执行查询，并返回一个 DataReader 对象。
 ExecuteScalar: 执行查询， 返回查询数。
 例：
 SqlDataReader reader = cmd.ExecuteReader();//执行ExecuteReader  while (read.Read())
 {
     Response.Write(read[].ToString());
 }

　　6.参数化：

 string strSql = "DELETE FROM RNews WHERE  NewsId=@NewsId;";
 using (con = new SqlConnection(strCon))
 {
     con.Open();
     cmd = new SqlCommand(strSql, con);
     cmd.Parameters.Add(new SqlParameter("@NewsId", newsId));
     cmd.ExecuteNonQuery();
 }

　　这种参数化的形式可以防注入，并且有利于数据库的查询计划，加快查询速度。

　　7.DataAdapter：它为外部数据源与本地DataSet集合架起了一座坚实的桥梁，将从外部数据源检测到的数据合理正确地调配到本地的DataSet集合中。

　　其属性和方法如下：

• SelectComand属性：获取或设置用于在数据源选择记录的命令。
• UpdateCommand属性：获取或这只用于更新数据源中的记录的命令。
• DeleteCommand属性：获取或设置用于从数据源中删除记录的命令。
• InsertCommand属性：获取或设置用于将新记录插入数据源中的命令。
• Fill方法：填充数据集。
• Update方法：更新数据源。

 DataSet ds = new DataSet();
 con = new SqlConnection(connStr);
 string sql = "select BookId,Title,Author,Press,price from Books";
 using (cmd = new SqlCommand(sql, con))
 {
     SqlDataAdapter sda = new SqlDataAdapter(cmd);
     sda.Fill(ds,"TabBooks");
     GridView1.DataSource = ds.Tables["TabBooks"];
     GridView1.DataBind();
 }

　　调用存储过程：

 DataSet ds = new DataSet();
 SqlDataAdapter da = new SqlDataAdapter("GetAllUsers", "server=(local);database=DemoDB;Integrated Security=true;");
 da.SelectCommand.CommandType = CommandType.StoredProcedure;
 da.Fill(ds);
 this.dataGridView1.DataSource = ds.Tables[];

　　DataSet,DataTable,DataReader,DataAdapter区别：

　　（1）DataSet是用来做连接sql的一种方法,意思是把数据库的副本存在应用程序里，相当于存在内存中的数据库，应用程序开始运行时，把数据库相关数据保存到DataSet。

　　（2）DataTable表示内存中数据的一个表。常和DefaultView使用获取可能包括筛选视图或游标位置的表的自定义视图。

　　（3）DataReader对象是用来读取数据库的最简单方式，它只能读取,不能写入，并且是从头至尾往下读的，无法只读某条数据，但它占用内存小，速度快。　　

　　（4）DataAdapter对象是用来读取数据库。可读取写入数据，某条数据超着强，但它占用内存比dataReader大，速度慢，一般和DataSet连用。

　　（5）Dataset表示一个数据集，是数据在内存中的缓存。 可以包括多个表，DataSet 连接数据库时是非面向连接的。把表全部读到Sql中的缓冲池，并断开于数据库的连接，DataReader 连接数据库时是面向连接的。读表时，只能向前读取，读完数据后由用户决定是否断开连接。

　　8.SQL注入：利用了写SQL语句时的不小心而使程序受到攻击。要防止注入，需要注意：检查用户输入的信息，是否含有分号啊，引号之类的；还有一种方式就是使用参数化查询方式：

 StringBuilder strSQL = new StringBuilder();
 strSQL.Append("Update tb_SelCustomer Set ");
 strSQL.Append(“Phone = @Phone”)；
 strSQL.Append("where Name = @Name");
 using (SqlConnection conn = new SqlConnection(connStr.ConnectionString))
 {
     SqlCommand cmd = new SqlCommand(strSQL.ToString(), conn);
     //构造Parameter对象
     SqlParameter[] paras = new SqlParameter[]{new SqlParameter("@Phone",SqlDbType.VarChar, ), new SqlParameter("@Name", SqlDbType.VarChar, ) };
     //给Parater对象赋值
     paras[].Value = "";
     paras[].Value = "测试客户1";
     //遍历添加到Parameters集合中
     foreach (var item in paras)
     {
         cmd.Parameters.Add(item);
     }
     try
     {
         conn.Open();
         cmd.ExecuteNonQuery();
         Console.WriteLine("Update Success...");
     }
      catch (Exception ex)
     {
         Console.WriteLine("{0}", ex.Message);
     }
 }               

后记：内容有点多，得仔细消化一下。