1、sql字符串注入攻击及防御:
攻击:a');update students set sname='郑祎著';--
防御:cmd.commandtext="insert into students values(@a,@b);";
cmd.parameters.Clear();
cmd.parameters.AddWithValue("@a",code);
cmd.parameters.AddWithValue("@b",name);
2、三个层面:
界面层:
业务逻辑层:
数据访问层:
3、实体类:
最简单的封装
把数据库的表名变成类的类名
把数据库的每一个列,变为实体类中的成员变量和属性
列名与属性名一致
4、数据访问类
将某个表的数据库操作写成一个一个方法,放入到此类中
供外部调用
