昨天写了 web三层架构的第一版,准确的说是三层架构的前期,顶多算是个二层架构,要慢慢完善。
第一版里,程序虽说能运行起来,但是有一个缺陷,就是里面的SQL语句,是使用的拼接字符进行执行。这样安全系数很低,如果有心人的话,可能会SQL注入,重新拼接字符,然后篡改我们的数据库内容,导致不可挽回的损失。
在第二版本,也就是这一版里,我对原来的SQL语句进行了重构,使用带参数的SQL语句对数据库进行操作,这样做的好处是,无论用户输入的是什么格式的字符,SQL语句都会原封不动的把这些字符写入到数据库中,这样就避免了有心人对字符进行拼接,导致数据库出错。
下面我用另一个小例子来说明防止SQL注入的核心代码,在最后会给出我重构过的第一版程序,也就是今天要写第二版程序:
这是DAO类中的insert方法:
public bool insert(string name, string sex, string salary)
{
bool flag = false; SqlParameter[] paras = new {
new SqlParameter("@name", name),
new SqlParameter("@sex", sex),
new SqlParameter("@salary", salary)
}; string sql = "insert into person ([name], sex, salary) values (@name, @sex, @salary)"; if (sq.ExecuteNonQuery(sql, paras) > ) //把SQL语句和SQL参数同时传入SQLHelper的ExecuteNonQuery中执行。
{ // flag = true;
} return flag;
}
这是SQLHelper类中的ExecuteNonQuery方法:
public int ExecuteNonQuery(string sql, SqlParameter[] paras)
{
int result; cmd = new SqlCommand(sql, getcon()); //创建SQLcommand对象cmd cmd.Parameters.AddRange(paras); //在SQLcommand对象cmd中,添加参数。
//上面的这一句注释,是自己的理解,如果理解错了,请在评论区帮忙指正一下,先谢过。
result = cmd.ExecuteNonQuery(); //然后执行对象cmd,其中已经包含了SQL语句和要用的参数 return result;
}
上面是一个小例子,创建了一张表,然后向表里的 NAME SEX SALARY 三个字段中添加内容。
下面是第二版web三层架构程序:
SQLhelper助手类:
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks; using System.Data;
using System.Data.SqlClient;
using System.Configuration; namespace DAL
{
public class SQLHelper
{
SqlCommand cmd = null; public string strcon()
{
string strcon = ConfigurationManager.ConnectionStrings["strcon"].ConnectionString; return strcon;
} public SqlConnection getcon()
{
SqlConnection con = new SqlConnection(strcon()); if (con.State == ConnectionState.Closed)
{
con.Open();
} return con;
} #region 执行增删改查的SQL语句
/// <summary>
/// 执行增删改查的SQL语句
/// </summary>
/// <param name="sql">要执行的SQL</param>
/// <returns>返回执行SQL语句后影响的行数</returns>
public int ExecuteNonQuery(string sql)
{
int res; try
{
cmd = new SqlCommand(sql, getcon()); res = cmd.ExecuteNonQuery();
}
catch (Exception ex)
{
throw ex;
}
finally
{
if (getcon().State == ConnectionState.Open)
{
getcon().Close();
}
} return res;
}
#endregion #region 执行带参数的增删改SQL语句
/// <summary>
/// 执行带参数的增删改SQL语句
/// </summary>
/// <param name="sql">要执行的SQL语句</param>
/// <param name="paras">传入的参数</param>
/// <returns>返回受影响的行数</returns>
public int ExecuteNonQuery(string sql, SqlParameter[] paras)//上下两个ExecuteNonQuery因为使用了方法的重载,其中参数不同,所以虽说都在调用ExecuteNonQuery,但是传递的参数的个数不同,系统会自动识别用哪一个ExecuteNonQuery方法。
{
int res; cmd = new SqlCommand(sql, getcon());// 1 cmd.Parameters.AddRange(paras);// 2 res = cmd.ExecuteNonQuery(); return res;
}
#endregion #region 执行传入的SQL查询语句
/// <summary>
/// 执行传入的SQL查询语句
/// </summary>
/// <param name="sql">要执行的查询SQL</param>
/// <returns>返回查询SQL语句的数据集</returns>
public DataTable ExecuteQuery(string sql)
{
DataTable dt = new DataTable(); //创建一个SqlCommand对象cmd,让其连接数据库,并指向sql语句。//自己理解,如果不对的话请在评论区指正,先谢过。
cmd = new SqlCommand(sql, getcon()); //执行cmd连接的数据库.使用using后在执行完毕后,直接关闭sdr。不需要写sdr.closed.
using (SqlDataReader sdr = cmd.ExecuteReader(CommandBehavior.CloseConnection))//如果使用 CommandBehavior.CloseConnection 参数,那么在代码的结尾处就不需要写 getcon().Close(),他会直接关闭。
{
dt.Load(sdr);// Load 这种方法适合于SqlDataReader。如果是SqlDataAdapter,则会用到 Fill 方法。
} return dt;
}
#endregion #region 执行传入带参数的SQL查询语句
/// <summary>
/// 执行传入带参数的SQL查询语句
/// </summary>
/// <param name="sql">要执行的SQL语句</param>
/// <param name="paras">传入的参数</param>
/// <returns>返回查询的数据集</returns>
public DataTable ExecuteQuery(string sql, SqlParameter[] paras)
{
DataTable dt = new DataTable(); cmd = new SqlCommand("sql", getcon()); cmd.Parameters.AddRange(paras); using (SqlDataReader sdr = cmd.ExecuteReader(CommandBehavior.CloseConnection))
{
dt.Load(sdr);
} return dt;
}
#endregion
}
}
personDAO员工操作类:
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks; using System.Data;
using System.Data.SqlClient; namespace DAL
{
public class personDAO
{
SQLHelper sq = null; public personDAO()
{
sq = new SQLHelper();
} #region 增加员工信息
/// <summary>
/// 增加员工信息
/// </summary>
/// <param name="name">要添加的员工姓名</param>
/// <param name="sex">要添加的员工性别</param>
/// <param name="salary">要添加的员工工资</param>
/// <returns>返回真假值:如果是真显示添加成功,如果是假显示添加失败</returns>
public bool insert(string name, string sex, string salary)
{
bool flag = false; SqlParameter[] paras = new SqlParameter[]
{
new SqlParameter("@name", name),
new SqlParameter("@sex", sex),
new SqlParameter("@salary", salary)
}; string sql = "insert into person ([name], sex, salary) values (@name, @sex, @salary)";//记住,添加参数的时候,不需要 双引号 或是 单引号。 if (sq.ExecuteNonQuery(sql, paras) > )//把sql语句和所用到参数数组,一起传送到 ExecuteNonQuery 中去执行。
{
flag = true;
} return flag;
}
#endregion #region 删除员工信息
/// <summary>
/// 删除员工信息
/// </summary>
/// <param name="id">要删除员工的id</param>
/// <returns>返回真假值:如果是真显示删除成功,如果是假显示删除失败</returns>
public bool delete(string id)
{
bool flag = false; SqlParameter[] paras = new SqlParameter[]
{
new SqlParameter("@id", id)
}; string sql = "delete from person where id = @id";//记住,添加参数的时候,不需要 双引号 或是 单引号。 if (sq.ExecuteNonQuery(sql, paras) > )
{
flag = true;
} return flag;
}
#endregion #region 更改员工信息
/// <summary>
/// 更改员工信息
/// </summary>
/// <param name="id">要更改的员工编号</param>
/// <param name="name">要更改的员工姓名</param>
/// <param name="sex">要更改的员工性别</param>
/// <param name="salary">要更改的员工工资</param>
/// <returns>返回真假值:如果是真显示更改成功,如果是假显示更改失败</returns>
public bool update(string id, string name, string sex, string salary)
{
bool flag = false; SqlParameter[] paras = new SqlParameter[]//创建参数数组
{
new SqlParameter("@id", id),//我的理解:对参数数组赋值
new SqlParameter("@name", name),
new SqlParameter("@sex", sex),
new SqlParameter("@salary", salary)
}; //使用参数数组
string sql = "update person set [name] = @id, sex = @name, salary = @sex where id = salary";//记住,添加参数的时候,不需要 双引号 或是 单引号。 if (sq.ExecuteNonQuery(sql, paras) > )
{
flag = true;
} return flag;
}
#endregion #region 判断员工姓名是否重复
/// <summary>
/// 判断员工姓名是否重复
/// </summary>
/// <param name="name">要进行判断的员工姓名</param>
/// <returns>返回真假值:如果是真代表重复,如果是假进行添加</returns>
public bool repeat(string name)
{
bool flag = false; SqlParameter[] paras = new SqlParameter[]
{
new SqlParameter("@name", name)
}; string sql = "select * from person where [name] = @name";//记住,添加参数的时候,不需要 双引号 或是 单引号。 #region 下面这样写的话,还要重新建立一张虚拟表,如果直接用下面的方法,进行行数的判断就不需要建立。
//DataTable dt = sq.ExecuteQuery(sql); //if (dt.Rows.Count > 0)//dt.Rows.Count 这个方法是检查返回的虚拟表中是不是有数据,如果有的话则行数不为零。如果没有的话则行数为零。
//{
// flag = true;
//}
#endregion if (sq.ExecuteQuery(sql, paras).Rows.Count > )//dt.Rows.Count 这个方法是检查返回的虚拟表中是不是有数据,如果有的话则行数不为零。如果没有的话则行数为零。
{
flag = true;
} return flag;
}
#endregion
}
}
上面就是重构的第一版的代码,也就是第二版,其中如果有错误的地方,请在评论区帮忙指正。