Question

如果可能，请提供以下指导

解释我在App_Code中有一个主project.cs文件，其中包含主要功能。其中一个函数是SQL_Inject，它将数据插入数据库。

然后，我有多个页面同时从多个客户端计算机上使用此功能。

问题我追求的答案是，这是一种安全的选择方法吗？或者我应该在每个.cs页面上单独创建一个新连接。

原因/问题 这成为一个问题的原因，我们目前是一家小公司，但正在增长。事实上，由于SQL连接导致页面崩溃仍然打开。我担心它是由于两个连接试图同时进行。我不确定这是不是问题，还是来自其他问题。

//GLOBAL DECLARATIONS

//DB CONNECTIONS - retrieve from config file

public static string ConProjectms = System.Configuration.ConfigurationManager.ConnectionStrings["conProject"].ConnectionString;

//DB CONNECT TO SQL
public static SqlConnection SqlConn = new SqlConnection();
public static SqlCommand SqlCmd = new SqlCommand();
public static SqlDataReader SqLdr;
public static string SqlStr;
public static string ConnString;


public static void SqlInject(string query, string dataBase)
{

    SqlConn.ConnectionString = ConProjectms;
    //Set the Connection String
    SqlConn.Open();
    //Open the connection 
    SqlCmd.Connection = SqlConn;
    //Sets the Connection to use with the SQL Command
    SqlCmd.CommandText = query;
    //Sets the SQL String
    SqlCmd.ExecuteNonQuery();
    //put Data 
    SqlClose();

}


public static void SqlClose()
{
    if (SqlConn.State != ConnectionState.Open) return;
    SqlConn.Close();
    SqlCmd.Parameters.Clear();
}

Answer 1

App_Code中的数据库代码没有理由不起作用。听起来更像是你的连接池不能很好地工作。查看连接字符串，IIS设置和数据库的性能。如果由于某种原因无法建立连接池，那么查询的运行时间就成了问题。

Answer 2

SQL可以同时处理多个连接。但是，您的代码很可能同时由两个客户端运行，并且它们将使用相同的连接而不是两个单独的连接。那是坏事＃1。

SQL Server在连接池方面做得非常出色 - 我认为其他DB具有类似的功能。在这样的世界中，您不应该尝试保留和重用任何与数据相关的对象 - 但是在您需要时创建它们，并且当SQL发现您正在使用它之前创建的连接时，自从它被释放后，它就会被创建我会用的。您无需做任何奇怪的事情来获得此功能。

考虑到这一点，你的静态对象应该大部分消失，你的SQLInject方法可能看起来像这样：

public static void SqlInject(string query, string dataBase)
{
   var connectionString = 
     System 
     .Configuration 
     .ConfigurationManager 
     .ConnectionStrings["conProject"] 
     .ConnectionString;

  using ( var connection = new SqlConnection( connectionString ) )
  {
    connection.Open( );
    using ( var command = connection.CreateCommand( ) )
    {
      command.CommandText = query;
      command.CommandType = CommandType.Text;
      command.ExecuteNonQuery( );
    }
  }
}

请注意，您不必担心关闭连接本身; using块处理打开的活动对象的处置。这很大程度上是人们从SQL开始直接c#。顺便说一下，你的代码和我的代码都不使用dataBase参数。也许你应该用它编辑基本连接字符串??

但等等 - 还有更多！

说了这么多，并且由于你提出了对安全性的担忧，你应该知道这根本不是安全的代码 - 你的或我的。 SqlInject可能是个好名字，因为它允许query参数中的几乎任何东西（BTW，如果你正在执行ExecuteNonQuery，那么query可能不是一个好名字）。

你可以更好地允许对已知语句库（可能是存储过程）的参数，验证这些参数，并使用SQL注入攻击缓解来参数化已知语句（查找该短语，你会发现丰富例子和建议）。

只是对于yuks，这是你可能会考虑的脚手架：

public static void SqlInject(string commandName, params[] object commandArgs )
{
   //--> no point in going on if we got no command...
   if ( string.IsNullOrEmpty( commandName ) )
     throw new ArgumentNullException( nameof( commandName ) );

   var connectionString = 
     System 
     .Configuration 
     .ConfigurationManager 
     .ConnectionStrings["conProject"] 
     .ConnectionString;

  using ( var connection = new SqlConnection( connectionString ) )
  {
    connection.Open( );
    using ( var command = connection.CreateCommand( ) )
    {
      command.CommandType = CommandType.Text;
      command.CommandText = "select commandText from dbo.StatementRepository where commandName = @commandName";
      command.Parameters.AddWithValue( "@commandName", commandName );
      var results = command.ExecuteScalar( );
      if ( results != null && results != DbNull.Value )
      {            
        //--> calling a separate method to validate args, that returns
        //--> an IDictionary<string,object> of parameter names
        //--> and possibly modified arguments.
        //--> Let this validation method throw exceptions.
        var validatedArgs = ValidateArgs( commandName, commandArgs );

        command.Parameters.Clear( );
        command.CommandText = query;
        foreach( var kvp in validatedArgs )
        {
          command.Parameters.AddWithValue( kvp.Key, kvp.Value );
        }
        command.ExecuteNonQuery( );
      }
      else
      {
        throw new InvalidOperationException( "Invalid command" );
      }          
    }
  }
}

我没有尝试编写实际的参数验证方法，因为这些都包含在您的应用程序逻辑中......但我想让您了解如何获得更安全的州。

App_Code SQL Inject / Select

2 个答案: