在C#中建立復(fù)雜的、靈活的SQL查詢/命令_.Net教程

教程Tag：暫無Tag,歡迎添加,賺取U幣!

推薦：ASP.NET生成高質(zhì)量縮略圖通用函數(shù)(c#代碼)
在網(wǎng)站開發(fā)時(shí),生成縮略圖是一個(gè)非常常見和實(shí)用的功能.以前在asp里只能借助com組件實(shí)現(xiàn),現(xiàn)在在.net里可以利用框架的強(qiáng)大的類庫輕松實(shí)現(xiàn).下面帖出完整的代碼(帶詳細(xì)注釋),參考了網(wǎng)上的一些文章及.

SelectQueryBuilder類允許在你的代碼中建立復(fù)雜的SQL語句和命令。它也能幫助于避免SQL注入式攻擊。

　　介紹

　　承認(rèn)，并且我們都這樣作過，也認(rèn)為下面的方式是最好的和唯一的方式。就是我們建立大量的字符串包含所有的Where子句，然后提交到數(shù)據(jù)庫去執(zhí)行它。來斷的加語句到我們的SQL字符串，極有可能會(huì)帶來Bugs和SQL注入式攻擊的危險(xiǎn)。并且也使得我們的代碼更難看也不易于管理。

　　這種情況必須停止，但如何停止?有人說使用存儲(chǔ)過程。但它并沒有真正的解決這個(gè)問題。你還得動(dòng)態(tài)建立你的SQL語句，只不過有問題移到數(shù)據(jù)庫層面上了，依然有SQL注入的危險(xiǎn)。除了這個(gè)“解決方案”外，可能還有非常多的選擇供你考慮，但它們都會(huì)帶來一個(gè)基本的挑戰(zhàn):讓SQL語句工作的更好、更安全。

　　當(dāng)我從我的在線DAL(數(shù)據(jù)訪問層)生成工具h(yuǎn)ttp://www.code-engine.com/建立C#模板時(shí)，我想提供一個(gè)易于使用的方法來定制查詢數(shù)據(jù)。我不再想使用“字符串查詢”(我以前開發(fā)的模板)來查詢數(shù)據(jù)。我厭煩這種凌亂的方式來得到數(shù)據(jù)。我想用一種清晰的、直覺的、靈活的、簡(jiǎn)單的方式從表中選擇數(shù)據(jù)，聯(lián)接一些別的語句，使用大量的Where子句，用一些列來分組數(shù)據(jù)，返回前X個(gè)記錄。

　　我開始開發(fā)所想的有這種嚴(yán)密功能的SelectQueryBuilder類。它暴露了許多屬性和方法，你能很容易地在Select語句中使用它們。一旦調(diào)用BuildQuery()和BuildCommand()方法，它能提供一種更好的舊的“字符串查詢“或可以使用命令參數(shù)的DbCommand對(duì)象來查詢數(shù)據(jù)。

　　使用代碼

　　舊的方式的代碼

　　下面的代碼闡明了以前建立SELECT語句的方法，它使用許多類變量來說明應(yīng)該使用那種連接操作(WHERE，或者OR),同時(shí)也給你的數(shù)據(jù)庫帶來了可能的SQL注入式攻擊。

string statement = "SELECT TOP " maxRecords " * FROM Customers ";
string whereConcatenator = "WHERE ";
if (companyNameTextBox.Text.Length > 0)
{
　statement = whereConcatenator;
　statement = "CompanyName like '" companyNameTextBox.Text "%' ";
　whereConcatenator = "AND ";
}

if (cityTextBox.Text.Length > 0)
{
　statement = whereConcatenator;
　statement = "City like '" cityTextBox.Text "%' ";
　whereConcatenator = "AND ";
}
if (countryComboBox.SelectedItem != null)
{
　statement = whereConcatenator;
　statement = "Country = '" countryComboBox.SelectedItem "' ";
　whereConcatenator = "AND ";
}

　　我相信上面的代碼對(duì)你來說是非常熟悉的，你可能在過去的十多年一直是這樣使用的，或者你曾經(jīng)編碼過數(shù)據(jù)庫驅(qū)動(dòng)的搜索功能。讓我告訴你這種思想:這種查詢你的數(shù)據(jù)庫的方法不能再使用了，它是難看的也是不安全的。

　　SelectQueryBuilder方式的代碼

　　同樣的查詢能夠使用SelectQueryBuilder類建立。

SelectQueryBuilder query = new SelectQueryBuilder();
query.SelectFromTable("Customers");
query.SelectAllColumns();
query.TopRecords = maxRecords;
if (companyNameTextBox.Text.Length > 0)
　query.AddWhere("CompanyName", Comparison.Like,companyNameTextBox.Text "%");
　if (cityTextBox.Text.Length > 0)
　　query.AddWhere("City", Comparison.Like,
　　cityTextBox.Text "%");
　if (countryComboBox.SelectedItem != null)
　　query.AddWhere("Country", Comparison.Equals,
　　countryComboBox.SelectedItem);
　　string statement = query.BuildQuery();
　　// or, have a DbCommand object built
　　// for even more safety against SQL Injection attacks:
　　query.SetDbProviderFactory(
　　DbProviderFactories.GetFactory(
　　"System.Data.SqlClient"));
　　DbCommand command = query.BuildCommand();

分享：asp.net里面的身份驗(yàn)證和授權(quán)
今天閑著無聊．想起來了ASP.NET身份驗(yàn)證．感覺良好．貼出下列代碼: login.aspx HTML代碼 <%@ Page language="c#" Codebehind="02Login.aspx.cs" AutoEventWire