连接字符串生成器 (ADO.NET)
更新:November 2007
在 ADO.NET 的早期版本中,不会对具有串联字符串值的连接字符串进行编译时检查,因此在运行时,不正确的关键字会产生 ArgumentException。每个 .NET Framework 数据提供程序支持的连接字符串关键字的语法不同,这使得手动构造有效连接字符串变得很困难。为了解决这个问题,ADO.NET 2.0 为每个 .NET Framework 数据提供程序引入了新的连接字符串生成器。每个数据提供程序包括一个从 DbConnectionStringBuilder 继承的强类型连接字符串生成器类。下表列出了 .NET Framework 数据提供程序及其关联的连接字符串生成器类。
提供程序 |
ConnectionStringBuilder 类 |
|---|---|
连接字符串注入式攻击
当使用动态字符串串联根据用户输入生成连接字符串时,可能发生连接字符串注入式攻击。如果未验证字符串并且未转义恶意文本或字符,则攻击者可能会访问服务器上的敏感数据或其他资源。例如,攻击者可以通过提供分号并追加其他值来发起攻击。连接字符串通过“last one wins”算法分析,恶意的输入被替换为合法的值。
连接字符串生成器类旨在排除推测,防止出现语法错误和安全漏洞。它们提供与每个数据提供程序允许的已知键/值对相对应的方法和属性。每个类都保持一个固定的同义词集合,可以将同义词转换为相应的已知键名。将执行键/值对的有效性检查,无效对会引发异常。此外,还会以一种安全方式处理插入的值。
下面的示例演示 SqlConnectionStringBuilder 如何处理为 Initial Catalog 设置插入的额外值。
Dim builder As New System.Data.SqlClient.SqlConnectionStringBuilder
builder("Data Source") = "(local)"
builder("Integrated Security") = True
builder("Initial Catalog") = "AdventureWorks;NewValue=Bad"
Console.WriteLine(builder.ConnectionString)
System.Data.SqlClient.SqlConnectionStringBuilder builder =
new System.Data.SqlClient.SqlConnectionStringBuilder();
builder["Data Source"] = "(local)";
builder["integrated Security"] = true;
builder["Initial Catalog"] = "AdventureWorks;NewValue=Bad";
Console.WriteLine(builder.ConnectionString);
输出结果表明,通过用双引号转义该额外值而不作为新的键/值对将其追加到连接字符串,SqlConnectionStringBuilder 可以正确处理此额外值。
data source=(local);Integrated Security=True;
initial catalog="AdventureWorks;NewValue=Bad"
从配置文件生成连接字符串
如果事先知道连接字符串的某些元素,则可以将其存储在配置文件中,并在运行时检索它们以构造完整连接字符串。例如,可能事先知道数据库的名称,但不知道服务器的名称。或者,您可能希望用户在运行时提供用户名和密码,而不能在连接字符串中插入其他值。
连接字符串生成器的一个重载构造函数将 String 作为参数,这可让您提供部分连接字符串,然后通过用户输入使这部分连接字符串成为完整字符串。该部分连接字符串可以存储在配置文件中并在运行时进行检索。
.gif "说明") 说明: |
|---|
System.Configuration 命名空间允许通过编程方式访问配置文件(对 Web 应用程序使用 WebConfigurationManager,对 Windows 应用程序使用 ConfigurationManager)。有关使用连接字符串和配置文件的更多信息,请参见连接字符串和配置文件 (ADO.NET)。 |
示例
此示例演示如何从配置文件中检索部分连接字符串并通过设置 SqlConnectionStringBuilder 的 DataSource、UserID 和 Password 属性完成该连接字符串。配置文件定义如下。
<connectionStrings>
<clear/>
<add name="partialConnectString"
connectionString="Initial Catalog=Northwind;"
providerName="System.Data.SqlClient" />
</connectionStrings>
| 说明: |
|---|
必须在项目中设置对 System.Configuration.dll 的引用,才能运行代码。 |
Private Sub BuildConnectionString(ByVal dataSource As String, _
ByVal userName As String, ByVal userPassword As String)
' Retrieve the partial connection string named databaseConnection
' from the application's app.config or web.config file.
Dim settings As ConnectionStringSettings = _
ConfigurationManager.ConnectionStrings("partialConnectString")
If Not settings Is Nothing Then
' Retrieve the partial connection string.
Dim connectString As String = settings.ConnectionString
Console.WriteLine("Original: {0}", connectString)
' Create a new SqlConnectionStringBuilder based on the
' partial connection string retrieved from the config file.
Dim builder As New SqlConnectionStringBuilder(connectString)
' Supply the additional values.
builder.DataSource = dataSource
builder.UserID = userName
builder.Password = userPassword
Console.WriteLine("Modified: {0}", builder.ConnectionString)
End If
End Sub
private static void BuildConnectionString(string dataSource,
string userName, string userPassword)
{
// Retrieve the partial connection string named databaseConnection
// from the application's app.config or web.config file.
ConnectionStringSettings settings =
ConfigurationManager.ConnectionStrings["partialConnectString"];
if (null != settings)
{
// Retrieve the partial connection string.
string connectString = settings.ConnectionString;
Console.WriteLine("Original: {0}", connectString);
// Create a new SqlConnectionStringBuilder based on the
// partial connection string retrieved from the config file.
SqlConnectionStringBuilder builder =
new SqlConnectionStringBuilder(connectString);
// Supply the additional values.
builder.DataSource = dataSource;
builder.UserID = userName;
builder.Password = userPassword;
Console.WriteLine("Modified: {0}", builder.ConnectionString);
}
}