零基礎(chǔ)學(xué)sql server2008光盤(pán)機(jī)工第20章linq技術(shù)實(shí)際應(yīng)用

LINQ技術(shù)實(shí)際應(yīng)用本講大綱：1、LINQ防止SQL注入式攻擊支持網(wǎng)站：2、使用LINQ實(shí)現(xiàn)數(shù)據(jù)分頁(yè)LINQ防止SQL注入式攻擊1．SQL注入式攻擊

SQL注入式攻擊是Web應(yīng)用程序中的一種安全漏洞，它可以將不安全的數(shù)據(jù)提交給應(yīng)用程序，使應(yīng)用程序在服務(wù)器上執(zhí)行不安全的SQL命令。使用該攻擊可以很輕松地登錄應(yīng)用程序。例如，開(kāi)發(fā)一個(gè)管理員登錄功能，假如該管理員的登錄名為mrsoft，正確的SQL語(yǔ)句應(yīng)該為如下代碼：Selectcount(*)fromLoginInfowhereName='mrsoft'

如果在“登錄名”文本框中輸入“mr’or’1’=’1”，單擊“登錄”按鈕，此時(shí)的SQL語(yǔ)句將會(huì)被轉(zhuǎn)換為如下代碼：Selectcount(*)fromLoginInfowhereName='mr'or'1'='1'通過(guò)上面的SQL語(yǔ)句可以看出，此SQL語(yǔ)句將會(huì)查詢(xún)出表中的所有信息，所以程序就會(huì)認(rèn)為登錄成功。2．LINQ防止SQL注入式攻擊

LINQtoSQL用于數(shù)據(jù)存取時(shí)，清除了SQL注入式攻擊的存在。當(dāng)LINQ執(zhí)行每次查詢(xún)時(shí)都加上了具體的參數(shù)。在LINQ查詢(xún)語(yǔ)句中構(gòu)建SQL查詢(xún)時(shí)，提交給查詢(xún)的任何輸入都被當(dāng)作字面值。例如，開(kāi)發(fā)一個(gè)管理員登錄功能，假如該管理員的登錄名為mrsoft。在文本框中輸入“mr’or’1’=’1”后登錄，LINQ將會(huì)產(chǎn)生如下的SQL語(yǔ)句：Select[t0].[Name],[t0].[Pass],from[dbo].[LoginInfo]AS[t0]where[t0].[Name]=@p0可以看出，where子句自動(dòng)被加上了參數(shù)，因此，用SQL注入式攻擊是無(wú)法造成破壞的。使用LINQ實(shí)現(xiàn)數(shù)據(jù)分頁(yè)

使用LINQ可以很容易地實(shí)現(xiàn)數(shù)據(jù)分頁(yè)功能，它主要應(yīng)用兩個(gè)泛型方法，下面對(duì)這兩個(gè)方法進(jìn)行介紹。Enumerable.Skip<TSource>泛型方法

Enumerable.Skip<TSource>方法用來(lái)跳過(guò)序列中指定數(shù)量的元素，然后返回剩余的元素。語(yǔ)法如下：publicstaticIEnumerable<TSource>Skip<TSource>( thisIEnumerable<TSource>source,intcount)參數(shù)說(shuō)明如下。source：一個(gè)IEnumerable<T>，用于從中返回元素。count：返回剩余元素前要跳過(guò)的元素?cái)?shù)量。返回值：一個(gè)IEnumerable<T>，包含輸入序列中指定索引后出現(xiàn)的元素。Enumerable.Take<TSource>泛型方法

Enumerable.Take<TSource>方法用來(lái)從序列的開(kāi)頭返回指定數(shù)量的連續(xù)元素。語(yǔ)法如下：publicstaticIEnumerable<TSource>Take<TSource>( thisIEnumerable<TSource>source,intcount)參數(shù)說(shuō)明如下。source：要從其返回元素的序列。count：要返回的元素?cái)?shù)量。返回值：一個(gè)IEnumerable<T>，包含輸入序列開(kāi)頭的指定數(shù)量的元素。