ADO NET 基础知识(二)doc.docxVIP

ADO.NET 基础知识（二）我们知道ADO.NET的两大核心组件分别是Data Provider和DataSet。如果说DataSet是ADO.NET的心脏，那么Data Provider绝对是ADO.NET的左臂右膀。Data Provider提供了访问外部数据数据源的可能性，而且外部的数据源是多样的。本文将详细说明.NET数据提供程序的作用以及如何访问不同的数据源。1. 什么是.NET数据提供程序？? ?? ?.NET Framework数据提供程序用于连接数据库、执行命令和检索结果。这些结果将被直接处理，放置在 DataSet 中以便根据需要向用户公开、与多个源中的数据组合，或在层之间进行远程处理。.NET Framework 数据提供程序是轻量的，它在数据源和代码之间创建最小的分层，并在不降低功能性的情况下提高性能。? ?? ?下表列出了 .NET Framework 中所包含的数据提供程序。?1.png?(25.58 KB, 下载次数: 0)下载附件??保存到相册1?分钟前?上传2. .NET数据提供程序的核心对象? ?? ?在上一篇文章中，我们知道Connection对象、Command对象、DataReader对象以及DataAdapter对象构成了.NET数据提供程序的骨架。这四个对象非常重要，在后续的文章中，我将详细的讲解。如果需要了解这些对象的作用，可以参考上一篇文章《你必须知道的ADO.NET（一）初识ADO.NET》。3. 其他重要的对象? ?? ?如果说上述四大对象构成了.NET数据提供程序的骨架，那么下面我要说的这些对象可以说是.NET数据提供程序的血肉了。这些对象虽然没有四大核心对象那么的光鲜耀眼，但却也是“八仙过海，各显神通”。3.1 Parameter对象? ?? ?说对Parameter对象，也许大部分人会说：“哦，原来是它啊”。尽管大部分人已经很熟悉了，我还是要在这里唠叨几句。我需要强调是，这一系列的文章主要写给对ADO.NET还不熟悉，或者刚入门的读者，旨在讲解ADO.NET最最基础却又非常重要的内容。? ?? ?简单的讲，Parameter对象定义了命令和存储过程的输入、输出和返回值参数。哦！看起来，好像并不是那么强大，那么Parameter对象到底有什么本领呢？先看这样一段代码，也许很多人曾经都写过，包括我自己：strSQL = SELECT * FROM users WHERE (name = + userName + ) and (pw = + passWord +);只要懂一点SQL语法的童鞋都知道，这不就是一个简单的登陆查询验证代码吗？好，先别急，你知道的，说不定别人还不知道。试想一下，如果用户（一般是那些技术高超，自称为“黑客”的高级用户）填入strSQL = SELECT * FROM users WHERE (name = + userName + ) and (pw = + passWord +);只要懂一点SQL语法的童鞋都知道，这不就是一个简单的登陆查询验证代码吗？好，先别急，你知道的，说不定别人还不知道。试想一下，如果用户（一般是那些技术高超，自称为“黑客”的高级用户）填入userName = OR 1=1;与passWord = OR 1=1;接下来，将见证奇迹的时刻：该用户竟然成功登陆网站了。哇！看起来这一切似乎多么的魔幻和神奇，其实我们稍作分析发现这也不过是一些雕虫小计。我们将userName和passWord变量带入strSQL变量后，将得到这样的一条SQL语句：strSQL = SELECT * FROM users WHERE (name = OR 1=1) and (pw = OR 1=1);也就是实际上运行的SQL命令会变成下面这样的strSQL = SELECT * FROM users;到这一步，我想也不需要我多说了吧，你懂的！上面的情况，用专业术语来说就是一个简单的SQL注入（SQL injection）。记得上政治课的时候，我印象最深的一句话是，“万物都是矛盾统一的”。这句话经典而又真实，以至于时刻在我的脑海里浮现。有SQL注入的出现，因此就有参数化查询（Parameterized Query ）的出现。? ?? ?参数化查询是指在设计与数据库连结并存取资料时，在需要填入数值或资料的地方，使用参数 (Parameter) 来给值，这个方法目前已被视为最有效可预防SQL注入(SQL Injection) 的攻击手法的防御方式。在使用参数化查询的情况下，数据库服务器不会将参数的内容视为SQL指令的一部份来处理，而是在数据库完成 SQL 指令的编译后，才套用参数执行，因此就算参数中含有具破坏性的指令，也不会被数据库所执行。说了这么