C 事件與委託

sqlconnection sqlconnection = new sqlconnection(); //...初始化連線

// 開啟事務

sqltransaction sqltransaction = sqlconnection.begintransaction();

// 將事務應用於command

sqlcommand sqlcommand = new sqlcommand();

sqlcommand.connection = sqlconnection;

sqlcommand.transaction = sqltransaction;

trycatch(exception ex)

三層結構解釋所謂三層體系結構，是在客戶端與資料庫之間加入了乙個中間層，也叫元件層。這裡所說的三層體系，不是指物理上的三層，不是簡單地放置三颱機器就是三層體系結構，也不僅僅有b/s應用才是三層體系結構，三層是指邏輯上的三層，即使這三個層放置到一台機器上。三層體系的應用程式將業務規則、資料訪問、合法性校驗等工作放到了中間層進行處理。通常情況下，客戶端不直接與資料庫進行互動，而是通過com/dcom通訊與中間層建立連線，再經由中間層與資料庫進行交換。

三層結構包含：表示層（usl），業務邏輯層（bll），資料訪問層（dal)

1：資料訪問層：主要是對原始資料（資料庫或者文字檔案等存放資料的形式）的操作層，而不是指原始資料，也就是說，是對資料的操作，而不是資料庫，具體為業務邏輯層或表示層提供資料服務。

2：業務邏輯層：主要是針對具體的問題的操作，也可以理解成對資料層的操作，對資料業務邏輯處理，如果說資料層是積木，那邏輯層就是對這些積木的搭建。

3：表示層：主要表示web方式，也可以表示成winform方式，web方式也可以表現成aspx，如果邏輯層相當強大和完善，無論表現層如何定義和更改，邏輯層都能完善地提供服務。

完善的三層結構的要求是：修改表現層而不用修改邏輯層，修改邏輯層而不用修改資料層。

sql注入攻擊指的是通過構建特殊的輸入作為引數傳入web應用程式，而這些輸入大都是sql語法裡的一些組合，通過執行sql語句進而執行攻擊者所要的操作，其主要原因是程式沒有細緻地過濾使用者輸入的資料，致使非法資料侵入系統。

根據相關技術原理，sql注入可以分為平台層注入和**層注入。前者由不安全的資料庫配置或資料庫平台的漏洞所致；後者主要是由於程式設計師對輸入未進行細緻地過濾，從而執行了非法的資料查詢。基於此，sql注入的產生原因通常表現在以下幾方面：①不當的型別處理；②不安全的資料庫配置；③不合理的查詢集處理；④不當的錯誤處理；⑤轉義字元處理不合適；⑥多個提交處理不當。

當應用程式使用輸入內容來構造動態sql語句以訪問資料庫時，會發生sql注入攻擊。如果**使用

儲存過程

，而這些儲存過程作為包含未篩選的使用者輸入的字串來傳遞，也會發生sql注入。sql注入可能導致攻擊者使用應用程式登陸在資料庫中執行命令。相關的sql注入可以通過測試工具pangolin進行。如果應用程式使用特權過高的帳戶連線到資料庫，這種問題會變得很嚴重。在某些

表單中，使用者輸入的內容直接用來構造動態sql命令，或者作為

儲存過程

的輸入引數，這些表單特別容易受到sql注入的攻擊。而許多**程式在編寫時，沒有對使用者輸入的合法性進行判斷或者程式中本身的

變數處理不當，使應用程式存在安全隱患。這樣，使用者就可以提交一段資料庫查詢的**，根據程式返回的結果，獲得一些敏感的資訊或者控制整個伺服器，於是sql注入就發生了。

1.永遠不要信任使用者的輸入。對使用者的輸入進行校驗，可以通過正規表示式，或限制長度；對單引號和雙"-"進行轉換等。

2.永遠不要使用動態拼裝sql，可以使用引數化的sql或者直接使用儲存過程進行資料查詢訪問。

3.永遠不要使用管理員許可權的資料庫連線，為每個應用使用單獨的許可權有限的資料庫連線。

4.不要把機密資訊直接存放，加密或者hash掉密碼和敏感的資訊。

5.應用的異常資訊應該給出盡可能少的提示，最好使用自定義的錯誤資訊對原始錯誤資訊進行包裝

6.sql注入的檢測方法一般採取輔助軟體或**平台來檢測，軟體一般採用sql注入檢測工具jsky，**平台就有億思**安全平台檢測工具。mdcsoft scan等。採用mdcsoft-ips可以有效的防禦sql注入，xss攻擊等。

用c#打造自己的通用資料訪問類庫

C 事件與委託

c 委託與事件

C 委託與事件

C 委託與事件

C 事件與委託

c 委託與事件

C 委託與事件

C 委託與事件

相關推薦