ado.net组成
数据提供程序
connection //连接对象
command
executeNonQuery //执行增删改
executeScalar //执行查询返回首行首列
executeReader //执行查询返回只读只进的结果集datareader
datareader
hasRow //是否有行
fieldCount //列的个数
dr["列名"]
dr.GetString(序号)
close()
dataadapter
数据集
dataset
作业:
1、用户界面中进行登录判断。输错三次禁止登陆,用数据库记录ErrorTimes。
如果用户名输入正确
密码输入错误
则错误次数+1 如果登陆错误次数==3
这时候不能登陆
2、数据导入:从文本文件导入用户信息。
3、数据导出:将用户信息导出到文本文件。
4、添加学生窗体
5、复习下树控件
把资料管理器的树形结构做出来
ADO.NET
为什么要学ADO.NET
之前我们所学只能在查询分析器里查看数据,操作数据,我们不能让普通用户去学sql,所以我们搭建一个界面(Web Winform)让用户方便的操作数据库中的数据
什么是ADO.NET
ADO.NET就是一组类库,这组类库可以让我们通过程序的方式访问数据库,就像System.IO下的类用类操作文件一样, System.Data.这组类是用来操作数据库(不光是MSSql Server),它提供了统一的编程接口让操作其它数据库(Access、Oracle等)的方式和操作MSSql Server一致
ADO.NET组成
数据提供程序
Connection
Command
DataReader只读只进的结果集
DataAdapter
程序集(DataSet) 断开时连接的数据库操作
第一个对象Connection
读取数据库数据之前先要创建一条路
读取Sql Server数据库使用
创建SqlConnection对象
获取连接字符串
VS视图-服务器资源管理器-数据库连接上点右键-添加连接 在新添的数据库上点右键 属性 里有连接字符串
string connStr = "Data Source=.\\sqlexpress;Initial Catalog=MySchool;Integrated Security=True";
SqlConnection conn = new SqlConnection(connStr);
conn.Open();
MessageBox.Show("数据库连接打开"); conn.Close();
MessageBox.Show("数据库连接关闭");
连接SQLServer
连接字符串:程序通过连接字符串 指定要连哪台服务器上的、哪个实例的哪个数据库、用什么用户名密码等。
ADO.Net中通过SqlConnection类创建到SQLServer的连接,SqlConnection代表一个数据库连接,ADO.Net中的连接等资源都实现了IDisposable接口,可以使用using进行资源管理。执行备注中的代码如果成功了就ok。
using (SqlConnection conn = new SqlConnection(@"Data Source=.\\sqlexpress;Initial Catalog=MySchool;Integrated Security=True"))
{
conn.Open();
Console.WriteLine("连接成功!");
}
第二个对象Command
操作Sql Server数据库使用SqlCommand对象
SqlCommand表示向服务器提交的一个命令(SQL语句等) , CommandText属性为要执行的SQL语句,ExecuteNonQuery方法执行一个非查询语句(Update、Insert、Delete等)
常用的三个方法
ExecuteNonQuery() 执行对数据库的增删改,返回受影响的行数
ExecuteScalar() 执行查询,返回首行首列
ExecuteReader() 执行查询,返回DataReader对象
执行简单的增删改语句
SqlCommand的ExecuteNonQuery执行增删改操作
ExecuteNonQuery返回值是执行的影响行数
//执行数据库操作 3步
//打开连接 conn.Open();
//执行操作 result = cmd.ExecuteNonQuery();
//关闭连接 conn.Close();
使用using语句即使释放连接资源,不用再考虑是否关闭连接,推荐使用
练习
添加学生 编辑学生 删除学生
异常处理
在执行数据库操作时,如果数据库服务器未打开,或者sql语句写错了会怎么样?
可以使用try…catch…finally来捕获异常
使用异常处理可以保证一个功能出错不影响另一个功能,比如添加操作失败,不影响查询的操作
ExecuteScalar
SqlCommand的ExecuteScalar方法用于执行查询,并返回查询所返回的结果集中第一行的第一列,因为不能确定返回值的类型,所以返回值是object类型。 cmd.CommandText = "select count(*) from student";
int i = Convert.ToInt32(cmd.ExecuteScalar())
cmd.CommandText = "select getdate()";
DateTime dt = Convert.ToDateTime(cmd.ExecuteScalar());
得到自动增长字段的主键值,在values关键词前加上output inserted.Id,其中Id为主键字段名。执行结果就试插入的主键值,用ExecuteScalar执行最方便。 cmd.CommandText =“insert into class(cName,cDescription) output inserted.Id values(‘高三一班’,‘描述’)”;
int i = Convert.ToInt32(cmd.ExecuteScalar());
练习:添加学生窗体
执行查询
执行有多行结果集的用ExecuteReader
HasRow属性返回是否有行
HasRow属性返回是否有行
SqlDataReader reader = cmd.ExecuteReader();...
while (reader.Read())
{ Console.WriteLine(reader.GetString(1));
}
reader的GetString、GetInt32等方法只接受整数参数,也就是序号,
用GetOrdinal方法根据列名动态得到序号
更简单的方法reader[‘uUserName’]
为什么用using。Close:关闭以后还能打开。Dispose:直接销毁,不能再次使用。using在出了作用域以后调用Dispose,SqlConnection、 SqlDataReader等的Dispose内部都会做这样的判断:判断有没有close,如果没有Close就先Close再Dispose。
DataReader 必须独享一个Connection
案例:登陆练习
SQL注入漏洞攻击
登录判断:select * from T_Users where UserName=... and Password=...,将参数拼到SQL语句中。
构造恶意的Password:' or '1'='1
if (dataReader.Read())
{
MessageBox.Show("登陆成功");
}
else
{
MessageBox.Show("登陆失败");
}
防范注入漏洞攻击的方法:不使用SQL语句拼接,通过参数赋值
查询参数
SQL语句使用@UserName表示“此处用参数代替”,向SqlCommand的Parameters中添加参数
cmd.CommandText = "select * from [user] where uUserName=@UserName and uPwd=@Password";
cmd.Parameters.Add(new SqlParameter(“@ UserName ","admin"));
cmd.Parameters.Add(new SqlParameter(“@ Password ",password));
参数在SQLServer内部不是简单的字符串替换,SQLServer直接用添加的值进行数据比较,因此不会有注入漏洞攻击。
案例
用户界面中进行登录判断。输错三次禁止登陆,用数据库记录ErrorTimes。
数据导入:从文本文件导入用户信息。
数据导出:将用户信息导出到文本文件。
练习
案例
省市选择程序,数据全部来自于数据库:http://www.programfan.com/blog/article.asp?id=28128把createtable中的varchar改为nvarchar,在Insert语句的汉字前面加上N(查找“,'”替换为“,N'”) ComboBox的显示值:Items.Add的参数是Object类型,也就是可以放任意数据类型的数据,可以设置DisplayMember属性设定显示的属性,通过SelectedItem属性取得到就是选择的条目对应的对象。例子。疑问:取出来的是Object,怎么能转换为对应的类型?变量名只是“标签”。显示的值和实际的对象不一样,在ASP.Net中也有相同的东西 创建一个ProvinceItem类,将数据填充在这个对象中添加到ComboBox中。 将连接字符串写在代码中的缺点:多次重复,违反了DRY(Don't Repeat Yourself)原则;如果要修改连接字符串就要修改代码。将连接字符串写在App.Config中: 添加App.config文件(文件名不能改):添加→新建项→常规→应用程序配置文件。App.config是.Net的通用配置文件,在ASP.Net中也能同样使用。 在App.config中添加connectionStrings段,添加一个add项,用name属性起一个名字(比如DbConnStr),connectionString属性指定连接字符串。 在“引用”节点上点右键“添加引用”,找到System.configuration。不是所有.Net中的类都能直接调用,类所在的Assembly要被添加到项目的引用中才可以。 ConfigurationManager.ConnectionStrings[" DbConnStr "].ConnectionString得到连接字符串。 如何在部署的程序中修改配置。
private void Form1_Load(object sender, EventArgs e)
{
string connStr = ConfigurationManager.ConnectionStrings["DbConn"].ConnectionString;
using (SqlConnection conn = new SqlConnection(connStr))
{
conn.Open();
using (SqlCommand cmd = conn.CreateCommand())
{
cmd.CommandText = "select * from promary";
using (SqlDataReader dataReader = cmd.ExecuteReader())
{
while (dataReader.Read())
{
ProvinceItem item = new ProvinceItem();
item.Id = dataReader.GetInt32(dataReader.GetOrdinal("proID"));
item.Name = dataReader.GetString(dataReader.GetOrdinal("proName"));
cmbProvince.Items.Add(item);
}
}
}
}
} private void cmbProvince_SelectedIndexChanged(object sender, EventArgs e)
{
cmbCity.Items.Clear();
ProvinceItem item = (ProvinceItem)cmbProvince.SelectedItem;
string connStr = ConfigurationManager.ConnectionStrings["DbConn"].ConnectionString;
using (SqlConnection conn = new SqlConnection(connStr))
{
conn.Open();
using (SqlCommand cmd = conn.CreateCommand())
{
cmd.CommandText = "select * from city where proID=@proID";
cmd.Parameters.Add(new SqlParameter("proID",item.Id));
using (SqlDataReader reader = cmd.ExecuteReader())
{
while (reader.Read())
{
string cityName = reader.GetString(reader.GetOrdinal("cityName"));
cmbCity.Items.Add(cityName);
}
}
}
}
}
} public class ProvinceItem
{
public int Id { get; set; }
public string Name { get; set; }
}