简单的web三层架构系统【第二版】
昨天写了 web三层架构的第一版,准确的说是三层架构的前期,顶多算是个二层架构,要慢慢完善。
第一版里,程序虽说能运行起来,但是有一个缺陷,就是里面的SQL语句,是使用的拼接字符进行执行。这样安全系数很低,如果有心人的话,可能会SQL注入,重新拼接字符,然后篡改我们的数据库内容,导致不可挽回的损失。
在第二版本,也就是这一版里,我对原来的SQL语句进行了重构,使用带参数的SQL语句对数据库进行操作,这样做的好处是,无论用户输入的是什么格式的字符,SQL语句都会原封不动的把这些字符写入到数据库中,这样就避免了有心人对字符进行拼接,导致数据库出错。
下面我用另一个小例子来说明防止SQL注入的核心代码,在最后会给出我重构过的第一版程序,也就是今天要写第二版程序:
这是DAO类中的insert方法:
public bool insert(string name, string sex, string salary)
{
bool flag = false; SqlParameter[] paras = new {
new SqlParameter("@name", name),
new SqlParameter("@sex", sex),
new SqlParameter("@salary", salary)
}; string sql = "insert into person ([name], sex, salary) values (@name, @sex, @salary)"; if (sq.ExecuteNonQuery(sql, paras) > ) //把SQL语句和SQL参数同时传入SQLHelper的ExecuteNonQuery中执行。
{ // flag = true;
} return flag;
}
这是SQLHelper类中的ExecuteNonQuery方法:
public int ExecuteNonQuery(string sql, SqlParameter[] paras)
{
int result; cmd = new SqlCommand(sql, getcon()); //创建SQLcommand对象cmd cmd.Parameters.AddRange(paras); //在SQLcommand对象cmd中,添加参数。
//上面的这一句注释,是自己的理解,如果理解错了,请在评论区帮忙指正一下,先谢过。
result = cmd.ExecuteNonQuery(); //然后执行对象cmd,其中已经包含了SQL语句和要用的参数 return result;
}
上面是一个小例子,创建了一张表,然后向表里的 NAME SEX SALARY 三个字段中添加内容。
下面是第二版web三层架构程序:
SQLhelper助手类:
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks; using System.Data;
using System.Data.SqlClient;
using System.Configuration; namespace DAL
{
public class SQLHelper
{
SqlCommand cmd = null; public string strcon()
{
string strcon = ConfigurationManager.ConnectionStrings["strcon"].ConnectionString; return strcon;
} public SqlConnection getcon()
{
SqlConnection con = new SqlConnection(strcon()); if (con.State == ConnectionState.Closed)
{
con.Open();
} return con;
} #region 执行增删改查的SQL语句
/// <summary>
/// 执行增删改查的SQL语句
/// </summary>
/// <param name="sql">要执行的SQL</param>
/// <returns>返回执行SQL语句后影响的行数</returns>
public int ExecuteNonQuery(string sql)
{
int res; try
{
cmd = new SqlCommand(sql, getcon()); res = cmd.ExecuteNonQuery();
}
catch (Exception ex)
{
throw ex;
}
finally
{
if (getcon().State == ConnectionState.Open)
{
getcon().Close();
}
} return res;
}
#endregion #region 执行带参数的增删改SQL语句
/// <summary>
/// 执行带参数的增删改SQL语句
/// </summary>
/// <param name="sql">要执行的SQL语句</param>
/// <param name="paras">传入的参数</param>
/// <returns>返回受影响的行数</returns>
public int ExecuteNonQuery(string sql, SqlParameter[] paras)//上下两个ExecuteNonQuery因为使用了方法的重载,其中参数不同,所以虽说都在调用ExecuteNonQuery,但是传递的参数的个数不同,系统会自动识别用哪一个ExecuteNonQuery方法。
{
int res; cmd = new SqlCommand(sql, getcon());// 1 cmd.Parameters.AddRange(paras);// 2 res = cmd.ExecuteNonQuery(); return res;
}
#endregion #region 执行传入的SQL查询语句
/// <summary>
/// 执行传入的SQL查询语句
/// </summary>
/// <param name="sql">要执行的查询SQL</param>
/// <returns>返回查询SQL语句的数据集</returns>
public DataTable ExecuteQuery(string sql)
{
DataTable dt = new DataTable(); //创建一个SqlCommand对象cmd,让其连接数据库,并指向sql语句。//自己理解,如果不对的话请在评论区指正,先谢过。
cmd = new SqlCommand(sql, getcon()); //执行cmd连接的数据库.使用using后在执行完毕后,直接关闭sdr。不需要写sdr.closed.
using (SqlDataReader sdr = cmd.ExecuteReader(CommandBehavior.CloseConnection))//如果使用 CommandBehavior.CloseConnection 参数,那么在代码的结尾处就不需要写 getcon().Close(),他会直接关闭。
{
dt.Load(sdr);// Load 这种方法适合于SqlDataReader。如果是SqlDataAdapter,则会用到 Fill 方法。
} return dt;
}
#endregion #region 执行传入带参数的SQL查询语句
/// <summary>
/// 执行传入带参数的SQL查询语句
/// </summary>
/// <param name="sql">要执行的SQL语句</param>
/// <param name="paras">传入的参数</param>
/// <returns>返回查询的数据集</returns>
public DataTable ExecuteQuery(string sql, SqlParameter[] paras)
{
DataTable dt = new DataTable(); cmd = new SqlCommand("sql", getcon()); cmd.Parameters.AddRange(paras); using (SqlDataReader sdr = cmd.ExecuteReader(CommandBehavior.CloseConnection))
{
dt.Load(sdr);
} return dt;
}
#endregion
}
}
personDAO员工操作类:
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks; using System.Data;
using System.Data.SqlClient; namespace DAL
{
public class personDAO
{
SQLHelper sq = null; public personDAO()
{
sq = new SQLHelper();
} #region 增加员工信息
/// <summary>
/// 增加员工信息
/// </summary>
/// <param name="name">要添加的员工姓名</param>
/// <param name="sex">要添加的员工性别</param>
/// <param name="salary">要添加的员工工资</param>
/// <returns>返回真假值:如果是真显示添加成功,如果是假显示添加失败</returns>
public bool insert(string name, string sex, string salary)
{
bool flag = false; SqlParameter[] paras = new SqlParameter[]
{
new SqlParameter("@name", name),
new SqlParameter("@sex", sex),
new SqlParameter("@salary", salary)
}; string sql = "insert into person ([name], sex, salary) values (@name, @sex, @salary)";//记住,添加参数的时候,不需要 双引号 或是 单引号。 if (sq.ExecuteNonQuery(sql, paras) > )//把sql语句和所用到参数数组,一起传送到 ExecuteNonQuery 中去执行。
{
flag = true;
} return flag;
}
#endregion #region 删除员工信息
/// <summary>
/// 删除员工信息
/// </summary>
/// <param name="id">要删除员工的id</param>
/// <returns>返回真假值:如果是真显示删除成功,如果是假显示删除失败</returns>
public bool delete(string id)
{
bool flag = false; SqlParameter[] paras = new SqlParameter[]
{
new SqlParameter("@id", id)
}; string sql = "delete from person where id = @id";//记住,添加参数的时候,不需要 双引号 或是 单引号。 if (sq.ExecuteNonQuery(sql, paras) > )
{
flag = true;
} return flag;
}
#endregion #region 更改员工信息
/// <summary>
/// 更改员工信息
/// </summary>
/// <param name="id">要更改的员工编号</param>
/// <param name="name">要更改的员工姓名</param>
/// <param name="sex">要更改的员工性别</param>
/// <param name="salary">要更改的员工工资</param>
/// <returns>返回真假值:如果是真显示更改成功,如果是假显示更改失败</returns>
public bool update(string id, string name, string sex, string salary)
{
bool flag = false; SqlParameter[] paras = new SqlParameter[]//创建参数数组
{
new SqlParameter("@id", id),//我的理解:对参数数组赋值
new SqlParameter("@name", name),
new SqlParameter("@sex", sex),
new SqlParameter("@salary", salary)
}; //使用参数数组
string sql = "update person set [name] = @id, sex = @name, salary = @sex where id = salary";//记住,添加参数的时候,不需要 双引号 或是 单引号。 if (sq.ExecuteNonQuery(sql, paras) > )
{
flag = true;
} return flag;
}
#endregion #region 判断员工姓名是否重复
/// <summary>
/// 判断员工姓名是否重复
/// </summary>
/// <param name="name">要进行判断的员工姓名</param>
/// <returns>返回真假值:如果是真代表重复,如果是假进行添加</returns>
public bool repeat(string name)
{
bool flag = false; SqlParameter[] paras = new SqlParameter[]
{
new SqlParameter("@name", name)
}; string sql = "select * from person where [name] = @name";//记住,添加参数的时候,不需要 双引号 或是 单引号。 #region 下面这样写的话,还要重新建立一张虚拟表,如果直接用下面的方法,进行行数的判断就不需要建立。
//DataTable dt = sq.ExecuteQuery(sql); //if (dt.Rows.Count > 0)//dt.Rows.Count 这个方法是检查返回的虚拟表中是不是有数据,如果有的话则行数不为零。如果没有的话则行数为零。
//{
// flag = true;
//}
#endregion if (sq.ExecuteQuery(sql, paras).Rows.Count > )//dt.Rows.Count 这个方法是检查返回的虚拟表中是不是有数据,如果有的话则行数不为零。如果没有的话则行数为零。
{
flag = true;
} return flag;
}
#endregion
}
}
上面就是重构的第一版的代码,也就是第二版,其中如果有错误的地方,请在评论区帮忙指正。
简单的web三层架构系统【第二版】的更多相关文章
- 简单的web三层架构系统【第三版】
今天是第三版,和前几天一样今天还是要对代码进行优化,三层架构是一种思想,具体能不能使得整个系统安全和高性能,还是要看代码编写的是否合理,逻辑性是否严谨. 昨天偶然间看到别人写的三层架构中,竟然没有在方 ...
- 简单的web三层架构系统【第五版】
接上一版,今天差不多就是三层架构后台代码的完结了,这一版写完,接下来就是前台的制作了,前台不太熟悉,还在深入学习.过一段时间在写,今天先把后台代码写完. 三层架构包括DAL层, BLL层, UI层(也 ...
- 简单的web三层架构系统【第四版】
上一次写了第三版, 因为之前无意之间看到一段视频,说是把系统中所有的SQL语句都做成存储过程.可以在很大程度上优化系统的SQL执行速度.所以百度了一下细节问题,之后我把所有的SQL语句,都做成了存储过 ...
- 简单的web三层架构系统【第一版】
SQLhelper助手类编写: 1 using System; 2 using System.Collections.Generic; 3 using System.Linq; 4 using Sys ...
- 关于WEB三层架构的思考
1.MVC设计思想 MVC程序设计思想是眼下比較流行的WEB开发的模式,当中,M(model)是模型.即JavaBean,用来封装和保存数据:V(view)是视图,即JSP.用来显示内容:C(cont ...
- WEB三层架构与MVC
web三层架构是指: >用户接口层(UI Layer) >业务逻辑层(Bussiness Layer) >持久化层 关于业务逻辑和用户接口 在早期的web开发中,因为业务比较简单,并 ...
- 使用Java编写一个简单的Web的监控系统cpu利用率,cpu温度,总内存大小
原文:http://www.jb51.net/article/75002.htm 这篇文章主要介绍了使用Java编写一个简单的Web的监控系统的例子,并且将重要信息转为XML通过网页前端显示,非常之实 ...
- Django——WEB三层架构与MVC
而我发此文的目的有二:一者,让初学者能够听到一家之言,是为解惑:二者,更希望抛砖引玉,得到专家的批判. 许多学生经常问我,MVC到底和WEB三层架构有啥关系? 开始时,我也只能给他们一些模糊的回答.时 ...
- Kali Linux Web渗透测试手册(第二版) - 1.3 - 靶机的安装
Kali Linux Web渗透测试手册(第二版) - 1.3 - 靶机的安装 一.配置KALI Linux和渗透测试环境 在这一章,我们将覆盖以下内容: 在Windows和Linux上安装Virt ...
随机推荐
- 基本数据结构简介--ath9k网卡驱动开发总结(二)
ath9k驱动代码主要数据结构概览. (1)在ath9k的驱动中,几乎是最顶层的数据结构是ath_softc,这个数据结构几乎随处可见.ath_softc是硬件与MAC层进行交互的中间载体,很多有用的 ...
- java反射机制(笔记)
java反射机制就是获取出class的相应方法 例如 获取构造函数: 模版: Class test = Class.forName("cn.test.Person");//得到相应 ...
- Pthon MySQLdb 的安装
说明: 要用python 去连接MySQL我们需要一个驱动程序这个程序就是MySQL-python,所以我们首先就是要下一个对应版本的MySQL-python (注意这个驱动程序只有32位版本的,所以 ...
- Android 屏幕适配方式
适配:即当前应用在相同的手机上面显示相同的效果.适配前需要首先确定当前手机所属像素密度类型(如:xhdpi.hdpi.mdpi等) 像素密度:每英寸上分布的像素点个数,单位(dpi,ppi),利用勾股 ...
- C语言入门(8)——形参与实参
对于带参数的函数,我们需要在函数定义中指明参数的个数和每个参数的类型,定义参数就像定义变量一样,需要为每个参数指明类型,并起一个符合标识符命名规则的名字.例如: #include <stdio. ...
- zoj 3665 Yukari's Birthday(枚举+二分)
Yukari's Birthday Time Limit: 2 Seconds Memory Limit: 32768 KB Today is Yukari's n-th birthday ...
- 【每日一摩斯】-Troubleshooting: High CPU Utilization (164768.1) - 系列6
如果问题是一个正运行的缓慢的查询SQL,那么就应该对该查询进行调优,避免它耗费过高的CPU资源.如果它做了许多的hash连接和全表扫描,那么就应该添加索引以提高效率. 下面的文章可以帮助判断查询的问题 ...
- 微软URLRewriter.dll的url重写在.net简单使用
最近在做一个cms的网站 打算做成伪静态,从博客园上差了很多人的资料,终于实验成功了,原理就不讲了,附上在本地的配置,IIS的配置遇到后在发布. 文章最后附上源码 步骤如下 1.新建网站,添加URLR ...
- LDAP验证用户名和密码
测试环境:VS2008, NET Framework 3.5 公司打算改用LDAP来存储用户名和密码,现在用C#测试下如何能拿到LDAP中的用户名,并检测用户密码是否正确.即输入用户名和密码,可以检验 ...
- java项目打jar包
首先 在工程中,右键项目,有个export,选择JAR File,就能导出jar包. 一.java项目没有导入第三方jar包 1. 首先在Eclipse中打开项目, 右键点击项目,选择“Export” ...