Zoe

1、sql字符串注入攻击及防御:

攻击:a');update  students  set  sname='郑祎著';--

防御:cmd.commandtext="insert into students values(@a,@b);";

        cmd.parameters.Clear();

        cmd.parameters.AddWithValue("@a",code);

        cmd.parameters.AddWithValue("@b",name);

2、三个层面:

    界面层:
    业务逻辑层:
    数据访问层:

3、实体类:

      最简单的封装
      把数据库的表名变成类的类名
      把数据库的每一个列,变为实体类中的成员变量和属性
     列名与属性名一致

4、数据访问类

      将某个表的数据库操作写成一个一个方法,放入到此类中
     供外部调用

posted on 2017-04-23 09:17  口袋里的SKY  阅读(223)  评论(0编辑  收藏  举报