黑马程序员_ADO.Net（ExecuteReader，Sql注入与参数添加，DataSet，总结DataSet与SqlDataReader ）

转自https://blog.csdn.net/u010796875/article/details/17386131

一．执行有多行结果集的用ExecuteReader

SqlDateReader reader=cmd.ExecuteReader();//查询结果在数据库中，不占客户端电脑内存

While(reader.Reader()){

   Console.WriteLine(reader.GetString(1));

}

//初始指针指向第一条数据之前，每调用一次Reader(),指针下移一条，只要没有移到最后一条之后，就返回true;

   private void Button_Click(object sender, RoutedEventArgs e)

        {

            using (SqlConnection conn = new SqlConnection("server=.;database=ADO.NET;uid=sa;pwd=***"))

            {

                conn.Open();

                using (SqlCommand com = conn.CreateCommand())

                {

                    //需要执行的T-sql语句

                    com.CommandText = "select * from T_User";

                    //执行查询语句并获取数据集

                    using (SqlDataReader read = com.ExecuteReader())

                    {

                        while (read.Read())

                        {

                            //read作为服务器端查询的数据集，

                            //通过调用方法：read.Get要查找的数据类型（第几列）

                            string username = read.GetString(1);

                            string userpwd = read.GetString(2);

                            MessageBox.Show(username+","+userpwd);

                        }

                    }

                }

            }

        }

二．Sql注入与参数添加

//SQL注入例子：1'or '1'='1

cmd.CommandText = "select Userpwd from T_User where UserName='"+txtName.Text+"'";

//防止sql注入，使用参数更加严密：

   string name = this.textBox1.Text;

   string pwd = this.textBox2.Text;

            using (SqlConnection conn = new SqlConnection("server=.;database=ADO.NET;uid=sa;pwd=***"))

            {

                conn.Open();

                using (SqlCommand cmd = conn.CreateCommand())

                {

                    cmd.CommandText = "select * from T_User where UserName=@username and UserPwd=@userpwd";

                    cmd.Parameters.Add(new SqlParameter("@username",name));

                    cmd.Parameters.Add(new SqlParameter("@userpwd", pwd));

                    using (SqlDataReader read = cmd.ExecuteReader())

                    {

                        if (read.Read())

                        {

                            MessageBox.Show("登陆成功");

                        }

                        else

                        {

                            MessageBox.Show("登陆失败");

                        }

                    }

                   

                }

            }

三．DataSet

1.SqlDataReader是连接相关的，SqlDataReader中的查询结果并不是放在程序中的，而是放在数据库服务器中，SqlDataReader只是相当于放了一个指针（游标），只能读取当前游标指向的行，一旦连接断开就不能再读取。这样的好处就是无论查询结果有多少条，对程序占用的内存几乎没有影响；

2.SqlDataReader对于小数据量的数据来说带来的只有麻烦。ADO.Net中提供了数据集的机制，将查询结果集填充到本地内存中，这样连接中断，不会影响数据的读取，数据集的好处是降低数据库服务器压力，编程也简单

3.DataSet的用法：

  using (SqlConnection conn = new SqlConnection("server=.;database=ADO.NET;uid=sa;pwd=***"))

            {

                conn.Open();

                using (SqlCommand cmd = conn.CreateCommand())

                {

                    cmd.CommandText = "select * from T_User";

                    SqlDataAdapter sda = new SqlDataAdapter(cmd);

                    DataSet ds = new DataSet();

                    sda.Fill(ds);

                    DataTable dt = ds.Tables[0];

                    for (int i = 0; i < dt.Rows.Count; i++)

                    {

                        string name = dt.Rows[i][1].ToString();

                        MessageBox.Show(name);

                    }  

                }

            }

四．总结DataSet与SqlDataReader 

DataSet 是通过SqlDataAdapter类通过cmd查询的数据集，它是放在客户端内存中，SqlDataReader是执行cmd.ExecuteReader()查询语句所获得的数据集，它是放在数据库服务器端的，两者各有利弊，总的来说，如果数据集较小，则使用DataSet好，如果数据集非常大，还是在数据库中的好，无论哪一种都是需要连接数据库的，所以都要使用Using()查询完以后自动关闭连接。

SqlDataReader类,SqlDataAdapter类都是是实现了IDisposable接口(这个接口自动关闭连接)，所以也要像SqlConnection类，SqlCommand类一样使用Using()进行资源管理;