2006年6月

今天我做了一件错事,将平台的话单下错了,归根结底属于工作疏忽,唉,跟着田姐跑了一早上,把相关部门都跑过来了,结果终于将这件祸事摆平了。在这个单位工作好歹有2年多了,可为什么自己仍然会犯这么低级的错误,我真的很后悔。

不过我觉得话单本身手工干预也是不合适的,是导致出现错误的诱因。唉。出现了错误,没有人会帮你,大家都在看你的笑话,现在的人就这么麻木,这么贱。

这次我的错误也成为了运监的那个女人的口实,以后肯定会拿这说事。我相信。

原本我打算引咎辞职的,连报告都写好了,后来田姐说我们是一个整体,少谁都不行,如果你要走,我也走。朋友也劝我说,犯不上辞职,知错能改就行了,这个时候我多么希望能听到她的鼓励与支持啊。真的。唉。

昨天还是开心的,因为涨薪水了,并且领导给我了一个承诺,可今天就闯祸了,真的大起大落啊。

从现在起,要告诉自己,做事要仔细,象话单做完了一定要核查,不论多么麻烦。如果再出现一次,我真的不能原谅自己,对不起领导对我的栽培。

一 用SqlConnection连接SQL Server

1.加入命名空间

using System.Data.SqlClient;  

2.连接数据库

SqlConnection myConnection = new SqlConnection();  
myConnection.ConnectionString = "user id=sa;password=sinofindb;initial catalog=test;data source=127.0.0.1;Connect Timeout=30";  
myConnection.Open();  

改进(更通用)的方法:

string MySqlConnection="user id=sa;password=sinofindb;Database =test;data source=127.0.0.1;Connect Timeout=30";  
SqlConnection myConnection = new SqlConnection(MySqlConnection);  
myConnection.Open();  

二 用OleDbConnection连接

1.加入命名空间

using System.Data.OleDb;  

2.连接sql server

string MySqlConnection="Provider=SQLOLEDB;Data Source=localhost;Initial Catalog=test;Integrated Security=SSPI;";

SqlConnection myConnection = new SqlConnection(MySqlConnection);  
myConnection.Open();  

3.连接Access(可通过建立.udl文件获得字符串)

string MySqlConnection="Provider=Microsoft.Jet.OLEDB.4.0;Data Source=c:db2000.mdb;

Persist Security Info=False;  

4.连接Oracle(也可通过OracleConnection连接)

string MySqlConnection="Provider=MSDAORA;Data Source=db; user id=sa;password=sinofindb";  

三.创建Command对象

 
1.SqlCommand 构造函数

①初始化 SqlCommand 类的新实例。

public SqlCommand();  
SqlCommand myCommand = new SqlCommand();  

②初始化具有查询文本的 SqlCommand 类的新实例。

public SqlCommand(string);  
String mySelectQuery = "Select * FROM mindata";  
SqlCommand myCommand = new SqlCommand(mySelectQuery);  

③初始化具有查询文本和 SqlConnection 的SqlCommand类实例。

Public SqlCommand(string, SqlConnection);  
String mySelectQuery = "Select * FROM mindata";  
string myConnectString = "user id=sa;password=;database=test;server=mySQLServer";  
SqlConnection myConnection = new SqlConnection(myConnectString);  
SqlCommand myCommand = new SqlCommand(mySelectQuery,myConnection);  

④初始化具有查询文本、SqlConnection 和 Transaction 的 SqlCommand 类实例。

public SqlCommand(string, SqlConnection, SqlTransaction);

SqlTransaction myTrans = myConnection.BeginTransaction();  
String mySelectQuery = "Select * FROM mindata";  
string myConnectString = "user id=sa;password=;database=test;server=mySQLServer";  
SqlConnection myConnection = new SqlConnection(myConnectString);  
SqlCommand myCommand = new SqlCommand(mySelectQuery,myConnection, myTrans);  

2.建立SqlCommand与SqlConnection的关联。

myCommand.Connection = myConnection;  

或者:

SqlCommand myCommand = myConnection.CreateCommand;  

3.设置SqlCommand的查询文本。

myCommand.CommandText = "Select * FROM mindata";  

或者第2种构造:

SqlCommand myCommand = new SqlCommand(mySelectQuery);  

给SqlCommand对象提供两个查询字符串,每个查询字符串访问不同的表,返回不同的结果集。两个查询语句用分号分隔。

4. 执行命令。

ExecuteReader
 返回一行或多行
 
ExecuteNonQuery
 对 Connection 执行 Transact-SQL 语句并返回受影响的行数(int)
 
ExecuteScalar
 返回单个值(如一个聚合值).返回结果集中第一行的第一列。忽略额外的列或行
 
ExecuteXmlReader
 将 CommandText 发送到 Connection 并生成一个 XmlReader 对象。
 

SqlDataReader myReader = myCommand.ExecuteReader();

或SqlDataReader myReader = myCommand.ExecuteReader(CommandBehavior.CloseConnection);

   while(myReader.Read()) //循环读取数据  
   {  
      Console.WriteLine(myReader.GetString(0));// 获取指定列的字符串形式的值  
      Console.WriteLine(myReader. GetValue(1));// 获取以本机格式表示的指定列的值  
    }  
 

CommandText = "select count(*) as NumberOfRegions from region";  
Int count = (int) myCommand.ExecuteScalar();  

关于OleDbCommand对象的使用。

四.DataReader的使用

1.遍历结果集

while (myReader.Read())  
  Console.WriteLine(" {0} {1}", myReader.GetInt32(0), myReader.GetString(1));  
myReader.Close();  

2.使用序数索引器。

while (myReader.Read())  
  Console.WriteLine(" {0} {1}", myReader[0].ToString(), myReader[1].ToString());  
myReader.Close();  

 
3.使用列名索引器。

while (myReader.Read())  
  Console.WriteLine(" {0} {1}", myReader["code].ToString(), myReader["name"].ToString());  
myReader.Close();  

4.使用类型访问器。

public char GetChar(int i); 获取指定列的单个字符串形式的值  
public DateTime GetDateTime(int i); 获取指定列的 DateTime 对象形式的值  
public short GetInt16(int i); 获取指定列的 16 位有符号整数形式的[C#]  
public string GetString(int i); 获取指定列的字符串形式的值  

5.得到列信息。

myReader.FieldCount     获取当前行中的列数  
myReader.GetFieldType(序号)   获取是对象的数据类型的 Type  
myReader.GetDataTypeName(序号)  获取源数据类型的名称  
myReader.GetName(序号)     获取指定列的名称  
myReader.GetOrdinal(序号)   在给定列名称的情况下获取列序号  

6.得到数据表的信息。

myReader.GetSchemaTable()   返回一个 DataTable  

7.操作多个结果集。

myReader.NextResult()     使数据读取器前进到下一个结果集  
do  
{  
  while (myReader.Read())  
  Console.WriteLine(" {0} {1}", myReader.GetInt32(0), myReader.GetString(1));  
}  
while(myReader.NextResult());  

五.DataAdapter

*1.创建SqlDataAdapter *
初始化 SqlDataAdapter 类的新实例。
public SqlDataAdapter();

将指定的 SqlCommand 作为SelectCommand 属性,初始化 SqlDataAdapter 类的新实例。
public SqlDataAdapter(SqlCommand);

用 selectcommand字符串 和 SqlConnection对象初始化SqlDataAdapter 类的新实例。
public SqlDataAdapter(string, SqlConnection);

用 selectcommand字符串 和 一个连接字符串 初始化SqlDataAdapter 类的新实例。
public SqlDataAdapter(string, string);

2.DataAdapter和SqlConnection,SqlCommand建立关联。

1.DataAdapter在构造参数时建立
2.SqlDataAdapter adapter = new SqlDataAdapter();
  adapter.SelectCommand = new SqlCommand(query, conn);

 
3.DataAdapter.Fill()方法。

在 DataSet 中添加或刷新行以匹配使用 DataSet 名称的数据源中的行,并创建一个名为“Table”的 DataTable。
public override int Fill(DataSet);

在 DataSet 中添加或刷新行以匹配使用 DataSet 和 DataTable 名称的数据源中的行。
public int Fill(DataSet, string);

在 DataSet 的指定范围中添加或刷新行以匹配使用 DataSet 和 DataTable 名称的数据源中的行。
public int Fill(DataSet, int, int, string);

在 DataTable 中添加或刷新行以匹配使用 DataTable 名称的数据源中的行。
 public int Fill(DataTable);

 
在 DataTable 中添加或刷新行以匹配使用指定 DataTable 和 IDataReader 名称的数据源中的行。
protected virtual int Fill(DataTable, IDataReader);

在 DataTable 中添加或刷新行以匹配使用 DataTable 名称、指定的 SQL Select 语句和 CommandBehavior 的数据源中的行。
protected virtual int Fill(DataTable, IDbCommand, CommandBehavior);
 
六.DataTable 类

七.DataColumn 类

八.DataRow 类 

九.DataSet 类
1.创建DataSet 对象

初始化 DataSet 类的新实例。
public DataSet();
 
用给定名称初始化 DataSet 类的新实例。
public DataSet(string);
 

2.用DataAdapter填充DataSet

DataSet myds=new DataSet();  
adapter.fill(myds)  
adapter.fill(myds,”表名”);  用一个表去填充DataSet.  

十. DataTableCollection 类

表示 DataSet 的表的集合。

DataTableCollection dtc = ds.Tables;  
DataTable table = dtc[“表名”];  
String strExpr = "id > 5";  
String strSort = "name DESC";  
DataRow[] foundRows = customerTable.Select( strExpr, strSort,);  

进行动态的筛选和排序。
DataTable.Select() 方法 :  获取 DataRow 对象的数组,

①获取所有 DataRow 对象的数组。

public DataRow[] Select();  

②按主键顺序(如没有主键,则按照添加顺序),获取与筛选条件相匹配的所有 DataRow 对象的数组。

public DataRow[] Select(string);  

③获取按照指定的排序顺序且与筛选条件相匹配的所有 DataRow 对象的数组。

public DataRow[] Select(string, string);  

④获取与排序顺序中的筛选器以及指定的状态相匹配的所有 DataRow 对象的数组。

public DataRow[] Select(string, string, DataViewRowState);  

十一。DataView 类

是DataTable内容的动态视图。

1.  创建对象

初始化 DataView 类的新实例。

  public DataView();

用指定的 DataTable 初始化 DataView 类的新实例。

  public DataView(DataTable);

用指定的 DataTable、RowFilter、Sort 和 DataViewRowState 初始化 DataView 类的新实例。

public DataView(DataTable, string, string, DataViewRowState);

DataView myview = new DataView(ds.Tables["Suppliers"], "id > 5", "name DESC",  
DataViewRowState.CurrentRows);  

2* .得到DataView的行数据。*

   foreach (DataRowView myrowview in myview)  
   {  
     for (int i = 0; i < myview.Table.Columns.Count; i++)  
        Console.Write(myrowview [i] + " ");  
     Console.WriteLine();  
   }

上周五把我自己写的一个简单的留言本给一个搞开发的朋友看,结果发现了2个严重的bug,一个是登录Bug,一个是Sql注入漏洞.

说实话,在进行写留言本的时候,我根本就不知道SQL注入漏洞是怎么样的,后来朋友给我讲了原理,做了示范,我发现要写出安全的代码真的需要注意很多问题。朋友给我的建议是:
第一条就是使用OleDBParameters,即参数,不要使用拼凑的SQL语句(动态SQL语句),而是使用参数,将变量给参数。
第二条就是控制用户输入,即任何时候不信任用户的输入,这个需要正则表达式来完成。
第三条,过滤HTML文本,即使用HttpUtility.HTMLEncode()或者Server.HTMLEcode()

下面的这些关于参数的代码,可能比较笨拙,但是很管用。因为oledb不像SQL Server那样,SQL SERVER使用命名参数,而OLEDB使用的是定位参数,即需要参数的地方使用‘?’。

下面是我写的一段代码:

    public static string filename = “~//App_Data//test.mdb”;  
    public static string ConnString = “Provider=Microsoft.Jet.OLEDB.4.0;Data Source=” + HttpContext.Current.Server.MapPath(filename);//定义连接字符串

OleDbConnection conn = new OleDbConnection(ConnString); //实例化一个oledbconnection对象  
        OleDbDataAdapter oleda = new OleDbDataAdapter();//实例化一个DataAdapter对象  
        DataSet ds = new DataSet();//实例化一个数据集  
        string insertSql = ” insert into [test] (name,email,weburl,Content,ip) VALUES (?,?,?,?,?)”;//定义需要执行的sql语句,注意问号  
        OleDbCommand olecmd = new OleDbCommand(insertSql, conn);//实例化一个oledbcommand对象,以sql语句和conn对象作为参数传递给构造函数

        olecmd.Parameters.Add(“@name”, OleDbType.Variant).Value = HttpUtility.HtmlEncode(nameTxt.Text);  
        olecmd.Parameters.Add(“@email”, OleDbType.Variant).Value = HttpUtility.HtmlEncode(emailTxt.Text);  
        olecmd.Parameters.Add(“@weburl”, OleDbType.Variant).Value = HttpUtility.HtmlEncode(weburlTxt.Text);  
        olecmd.Parameters.Add(“@Content”, OleDbType.Variant).Value = HttpUtility.HtmlEncode(ContentTxt.Text);  
        olecmd.Parameters.Add(“@ip”, OleDbType.Variant).Value = Session[“IP”].ToString();  
//上面5条开始添加SQL语句中的参数,注意顺序。  
        oleda.InsertCommand = olecmd;//将olecmd对象赋值给InsertCommand属性  
        conn.Open();//打开数据库  
        oleda.InsertCommand.ExecuteNonQuery();//执行命令。  
      conn.Close();//关闭数据库

注意:如果在编译的时候,得到错误“至少有一个参数没有被指定值”,请将@符号去掉。即olecmd.Parameters.Add(“Content”, OleDbType.Variant).Value = HttpUtility.HtmlEncode(ContentTxt.Text);。这个问题让我困扰了3个小时。

大家注意到了吧,参数的数据类型,我全部选择的是OleDbType.Variant,它映射到.net框架的object类型。我没有注意到什么ntext之类的数据类型。

以上代码主要是将参数用户DataAdapter,如果大家有更方便,更安全的方法,也请告诉我。谢谢。

关于其他的详细信息,比如SQL的,oracle的,大家可以看看MSDN。

ms-help://MS.VSCC.v80/MS.MSDN.v80/MS.VisualStudio.v80.chs/WD_ADONET/html/f21e6aba-b76d-46ad-a83e-2ad8e0af1e12.htm

我写的留言本程序的地址是 http://et.bestzhou.org/

/// <summary>

/// 自动给邮件地址或email地址加上url  

using System;

using System.Text.RegularExpressions;

namespace CommLayer

{

/// <summary>

/// 自动给邮件地址或email地址加上url

/// </summary>

public class HyperlinkUrl

{

private static Regex urlregex = new Regex(@"(http://([w.]+/?)S*)",

RegexOptions.IgnoreCase|RegexOptions.Compiled);

private static Regex emailregex = new Regex(@"([a-zA-Z_0-9.-]+@[a-zA-Z_0-9.-]+.w+)",

RegexOptions.IgnoreCase|RegexOptions.Compiled);

public HyperlinkUrl()

{

}

/// <summary>

/// 生成带连接的字符串

/// </summary>

/// <param name="link">需要生成带连接地址的字符串</param>

/// <returns>经过转换的字符串</returns>

public static string GenHyperlinkUrl(string link)

{

link = emailregex.Replace(link, "<a href=mailto:$1>$1</a>");

link = urlregex.Replace(link, "<a href="$1" target="_blank">$1</a>");

return link;

}

}

}

今天终于让一个做软件开发的朋友看了一下我写的日志程序,结果Bug一大堆,尤其是2个最要命的,一个是SQL注入,另一个是登录的漏洞。唉。代码得再修改修改。

丢人啊!

最近真的是比较烦,事情也比较多啊.

昨天又突然发现自己的网络硬盘,竟然不能访问了,到支持站点看了一下,才发现是有人在网络硬盘里面上传了违法的东西,结果被查封了。害得好多朋友都用不了,没办法,我只能换一个了,现在的网络硬盘用的是g宝盘的,速度不是很理想,麻烦各位朋友在下载的时候,有点耐心哦。呵呵。

自己前些日子写的.net blog顺利完工了,可惜我的站点和单位的服务器都不支持SQL SERVER 2005,我得再改一下,把数据库换成ACCESS的,这样就可以了。弄好了后,大家可以看看,给我提提建议,我好好再修改修改,当然,写得这个东西不可能是一个好东西,毕竟这是我最近学习.net后的成绩单吧。

前2天在日志上加了一个MUSIC模块,主要是可以放放音乐,这样大家在看日志的时候,不至于很索然无味了。呵呵。希望大家喜欢咯。毕竟众口难调,我只能放些我喜欢的了。

厌倦了传统的email格式,恐惧垃圾邮件的骚扰,渴望个性化的邮件图标
拥有自己的收藏夹图标,个性化自己的订阅图标,制作blog的关联图标
这一切都可以使用以下的工具来实现你的愿望,刷亮你的眼睛,美化你的网站,请跟我来:

1、最全的邮件/QQ/MSN/BLOG图片生成器:http://www.eoool.com/

支持国内外主要的邮箱,支持BLOG,SNS,IM图标生成,支持blog的相关图标生成。

2、邮箱图标生成器: http://www.nhacks.com/email/

支持GMail, Hotmail, MSN, Yahoo!, AOL , QQ等图标生成,应该是国外最早提供此服务的网站!
支持png格式,可以直接用URL生成,无须自己上传图片。

http://services.nexodyne.com/email/icon/4pfL6pkZ/%2B9Viqio%3D/UVE%3D/0/image.png

http://services.nexodyne.com/email/icon/C6vIZeOoHg%3D%3D/r.S6RKI%3D/R01haWw%3D/0/image.png

3、 Email Signature Generator

支持Gmail/Yahoo/Hotmail/MSN多个邮箱,有三种图片样式供用户选择,而且网站还开放了原代码,您可以下载后,安装到自己的网站中。

http://playtime.uni.cc/downloads/dl.php?mDown=gmail.zip

4、邮箱签名图标 E-Mail Icon Generator: http://pic.xabar.net/generator/email.asp

支持以下邮箱:Hotmail.com , Yahoo.com , Yahoo.com.cn , MSN.com , AOL.com , ATT.com , Bigfoot.com , RocketMail.com , QQ.com , 21cn.com , 21cn.net , 263.net , 263.net.cn , sohu.com , sohu.net , vip.sohu.net , sina.com , sina.cn , vip.sina.com , 163.com , vip.163.com , 126.com , eyou.com , etang.com , tom.com , china.com , mail.china.com , gmail.com , Yeah.net , netease.com , sogou.com , Email.com.cn , lezai.com

可自定义字体颜色和边框颜色,但需要使用代码调用:

UBB: 程序代码

HTML代码: 程序代码

5、收藏夹图标生成器: http://www.html-kit.com/e/favicon.cgi

Favicon.ico是收藏夹图标,在收藏夹或者浏览器的地址栏里就可以看到这个显著的图标。而且在多标签浏览器时Favicon可以方便用户迅速定位到他需要的那个标签。

“收藏夹”图标有着它特有的规格:图标的大小为1616,3232,4848三种格式(以像素为单位),在收藏夹里出现的是1616,favicon.ico文件生成还是有些难度的:它不是标准的位图文件,需要用专门的favicon编辑器Microangelo 98,favicon.com等生成。现在发现了一个在线favicon生成器服务:直接上传你自己的图片(GIF/JPG格式),直接生成16*16像素的favicon.ico文件,还可以在线预览和下载。

使用方式是在页面里嵌入以下语句:

![程序代码](images/code.gif) 程序代码

又名: Cascading Style Sheets:The Definitive Guide

译者: 许勇 / 齐宁
作者: (美)Eric A. Meyer

isbn: 7508305604
页数: 478
定价: 55.00
出版社: 中国电力出版社
出版年: 2001-5-1
简介:
  《CSS权威指南》是O'Reilly公司出版的Web制作权威指南系列中的一本。该系列还包括《HTML与XHTML权威指南》、《JavaScript权威指南》和《Dynamic HTML:The Definitive Guide》。 CSS是W3C认可的用于丰富Web页视觉表现力的方法。本书提供了对CSSl和CSS定位的完整的描述,同时也给出了CSS2的概述。本书对CSS的每个属性都做了详细的探究,同时讨论了各个属性之间如何协调、以及怎样避免一些常见错误。 本书的特点在于,它是第一本将CSS与当前浏览器支持结合起来描述的读物,而不仅仅是讲述CSS理论上应该如何工作,因此它为Web创作者和编辑人员高效使用CSS提供了全面的指南。

下载地址:http://bokea.cn/Soft/css权威指南.pdf

今天上传了几张桌面图片,请大家到“相册”下载使用。

如果大家觉得好,就请多光顾。呵呵。