11.15笔记 三层

一、SQL防注入（a、屏蔽特殊符号 b、参数化）

1. 代码层防止sql注入攻击的最佳方案就是sql预编译
public List<Course> orderList(String studentId)

{
      String sql = "select id,course_id,student_id,status from course where student_id = ?";
      return jdbcTemplate.query(sql,new Object[]{studentId},new BeanPropertyRowMapper(Course.class));
}
      这样我们传进来的参数 4 or 1 = 1就会被当作是一个student_id，所以就不会出现sql注入了。

2. 确认每种数据的类型，比如是数字，数据库则必须使用int类型来存储

3. 规定数据长度，能在一定程度上防止sql注入

4. 严格限制数据库权限，能最大程度减少sql注入的危害

5. 避免直接响应一些sql异常信息，sql发生异常后，自定义异常进行响应

6. 过滤参数中含有的一些数据库关键词

二、using：a、引入命名空间
　　　         b、垃圾自动回收
　　　　　  c、命名空间别名

三、ADO.NET中的五个主要对象

Connection：主要用来开启程序和数据库之间的连接，没有利用Connection对象连接数据库，是无法从数据库中取得数据的。Close()和Dispose()的区别就是Close以后还可以Open，但是Dispose是释放了连接，要操作数据库就要重新连接数据库。

Command：主要用来对数据库发出一些指令，例如可以对数据库发出增删改查的指令，或者调用存在数据库中的存储过程等。这个对象是建立在Connection对象之上的，也就是Command对象需要连接到数据库之后才可以操作数据库中的数据。

DataAdapter：主要是在数据源以及DataSet之间执行数据库传输工作，它可以透过Command对象下达命令后，然后将取得的数据通过DataAdapter对象调用Fill()方法填充到DataSet对象中。

DataSet：这个对象可以视为一个暂存区(Cache)，可以把从数据库中所查询到的数据保留起来，甚至可以将整个数据库显示出来，DataSet是放在内存中的，DataSet的能力不只是可以存储多个Table而已，还可以透过DataAdapter对象取得一些例如主键等的数据表结构，并可以记录数据表间的关联。DataSet对象可以说是ADO.Net中重量级的对象，这个对象架构在DataAdapter对象上，本身不具备和数据源沟通的能力；也就是说我们是将DataAdapter对象当作DataSet对象以及数据源间传输数据的桥梁。DataSet包含若干DataTable、DataTable包含若干DataRow。

DataReader：当我们只需要循序的读取数据而不需要其他操作时，可以使用DataReader对象。DataReader对象只是一次一次向下循序读取数据源中的数据，这些数据是存在数据库服务器中的，而不是一次性加载到程序的内存中的，只能(通过游标)读取当前行的数据，而且这些数据是只读的，并不允许其他的操作。因为DataReader在读取数据的时候限制了每次只读取一行，而且只能只读，所以使用起来不但节省资源而且效率很高。使用DataReader对象除了效率较好之外，因为不用把数据全部传回，故可以降低网路的负载。

四、DataReader与DataSet区别

a、 DataReader使用时始终占用SqlConnection,在线操作数据库每次只在内存中加载一条数据，所以占用的内存是很小的，是只进的、只读的
b、DataSet则是将数据一次性 加载在内存中，抛弃数据库连接，读取完毕即放弃数据库连接(非连接模式)
c、 DataSet将数据全部加载在内存中，所以比较消耗内存.但是确比DataReader 要灵活..可以动态的添加行，列，数据.对数据库进行回传更新操作(动态操作读入到内存的数据)  

五、三层

                   

三层搭建：创建类库、创建UI、相互引用、web.config数据库连接、DAL引入configular、SqlHelper、数据查询。

UI(表现层): 主要是指与用户交互的界面。用于接收用户输入的数据和显示处理后用户需要的数据。

BLL:(业务逻辑层): UI层和DAL层之间的桥梁。实现业务逻辑。业务逻辑具体包含：验证、计算、业务规则等等。

DAL:(数据访问层): 与数据库打交道。主要实现对数据的增、删、改、查。将存储在数据库中的数据提交给业务层，同时将业务层处理的数据保存到数据库。（当然这些操作都是基于UI层的。用户的需求反映给界面（UI），UI反映给BLL，BLL反映给DAL，DAL进行数据的操作，操作后再一一返回，直到将用户所需数据反馈给用户）

Entity(实体层)：它不属于三层中的任何一层，但是它是必不可少的一层。

Entity在三层架构中的作用：

1、实现面向对象思想中的"封装";
2、贯穿于三层，在三层之间传递数据;（注：确切的说实体层贯穿于三层之间，来连接三层）
3、对于初学者来说，可以这样理解：每张数据表对应一个实体，即每个数据表中的字段对应实体中的属性（注：当然，事实上不是这样。为什么？1＞，可能我们需要的实体在数据表对应的实体中并不存在；2＞，我们完全可以将所有数据表中的所有字段都放在一个实体里）
4、每一层（UI—>BLL—>DAL）之间的数据传递（单向）是靠变量或实体作为参数来传递的，这样就构造了三层之间的联系，完成了功能的实现。