VS连接数据库那些事儿，教你快速搞定数据传输和交互细节

综合自微软官方文档MSDN、Stack Overflow社区常见问题解答以及一些开发者博客的经验分享）

咱们今天就来聊聊用Visual Studio（后面简称VS）连接数据库这事儿，很多人觉得这玩意儿挺专业的，一堆术语，看着就头大，但其实啊，把它想象成用VS去跟一个仓库（数据库）取东西或者存东西，就简单多了，关键在于怎么建立联系、怎么下指令、怎么把东西搬来搬去。

第一件事：选对“钥匙”——连接字符串

你要进仓库,总得有钥匙吧？连接字符串就是这把“钥匙”，它告诉VS：仓库在哪（服务器地址）、仓库叫什么名字（数据库名）、你是谁（用户名）、你的密码是啥。

（来源：MSDN关于SqlConnection.ConnectionString属性的说明） 这东西看起来是一长串代码，比如连SQL Server数据库可能是这样的："Server=我的电脑名\\SQLEXPRESS;Database=我的数据库;User Id=sa;Password=123456;"，别看它复杂，VS其实有贴心的地方，你可以在项目中找到一个叫App.config或Web.config的配置文件，把连接字符串写在那里，这样做有个天大的好处：万一以后仓库搬家了（服务器换了）或者换锁了（密码改了），你不用翻遍所有代码去修改，只需要改这个配置文件就行了，一劳永逸。

第二件事：建立“通话线路”和下达指令

光有钥匙还不够,你得拿起电话跟仓库管理员沟通，在VS里，这个过程大概分几步：

1. 打开线路： 对应代码就是 using (SqlConnection conn = new SqlConnection(连接字符串)) { conn.Open(); }。SqlConnection这个对象就是你的电话机，Open()方法就是拨号连接，为什么要把这行代码放在using大括号里呢？（来源：Stack Overflow上关于资源管理的热门回答）这超级重要！using能保证无论中间打电话是顺利还是出了岔子（比如断线了），最后都会自动帮你“挂电话”（关闭连接），不然，万一你忘了关，连接一直开着，占着线路，别人就没法用了，时间一长仓库可能就“忙不过来了”。

2. 说明要干什么： 电话接通了，你得告诉管理员你要干啥。“我要查一下所有会员的信息！”或者“我要给张三的账户加100块钱！”，这个指令就是用 SqlCommand 对象来表示的，你把要说的话（SQL语句）写进去，"SELECT * FROM Members" 或者 "UPDATE Accounts SET Money=Money+100 WHERE Name='张三'"。

   

3. 执行指令并看结果：

   • 如果是查询（像SELECT），管理员会给你一份清单，这时候你要用 ExecuteReader() 方法来接收这份清单，返回一个 SqlDataReader 对象，你可以把它想象成一份长长的送货单，你一行一行地往下读，取出每个会员的名字、电话等信息。
   • 如果是增、删、改（像INSERT, DELETE, UPDATE），管理员只会告诉你“搞定了，影响了3行数据”，这时候你用 ExecuteNonQuery() 方法，它会返回一个数字，告诉你到底有几条记录被影响了，这很重要，比如你打算删除一条订单，返回结果是1，说明删成功了；如果是0，那你可能就要检查一下是不是订单号写错了。

第三件事：处理细节——参数化查询，防小人也防手滑

这里有个超级关键的细节,直接关系到安全和正确性！就是怎么把一些会变化的数值拼接到SQL指令里。

（来源：无数安全教程和漏洞报告反复强调的重点） 千万不要像下面这样直接把用户输入的内容和SQL语句用加号拼在一起： string sql = "SELECT * FROM Users WHERE Name='" + userName + "'"; 如果userName是用户输入的，他要是输入一个 ' OR '1'='1，整个语句就变成了 SELECT * FROM Users WHERE Name='' OR '1'='1'，这就会把用户表里所有数据都查出来！这就是臭名昭著的“SQL注入攻击”。

那该怎么办呢？用参数化查询，这就好比你不是把完整的一句话念给管理员听，而是先给他一个带问号的模板：“帮我查一下叫？的人的信息”，然后你再把具体的名字（张三”）单独告诉他，这样，无论“张三”这个名字里有没有单引号这种特殊符号，管理员都会正确地理解它只是一个名字，而不会把它当成指令的一部分。

在代码里是这样的：

SqlCommand cmd = new SqlCommand("SELECT * FROM Users WHERE Name=@UserName", conn);
cmd.Parameters.AddWithValue("@UserName", userName); // 安全！

这里的@UserName就是一个参数 placeholder，AddWithValue方法把真实的值安全地传递过去，这招既能防止黑客攻击，也能避免因为值里包含特殊字符而导致的程序报错。

第四件事：高级玩法——用DataSet/DataTable当“临时中转站”

你可能需要把仓库里的一大批货先搬到门口的临时堆放点（内存里），慢慢整理筛选，而不是站在仓库里一件一件现看现拿。DataSet和DataTable就是干这个的。

（来源：MSDN关于DataAdapter填充数据的文档） 你可以用一个叫 SqlDataAdapter 的对象，它像一辆小货车，执行一个查询命令后，调用它的 Fill() 方法，就能自动把整个查询结果一股脑地装进一个 DataTable 里，然后你就可以断开和数据库的连接，在内存里随意处理这个表格了，比如用LINQ进行复杂的查询、绑定到界面上的GridView控件显示出来等等，这对于需要离线操作大量数据或者做复杂UI绑定的场景非常方便。

VS连接数据库就像是一次有条理的物流操作：配好钥匙（连接字符串）、建立连接、清晰地下达指令（SqlCommand）、安全地传递参数、然后根据需求选择是即时处理（DataReader）还是批量中转（DataAdapter），把这些基本流程搞清楚了，剩下的就是多练习，遇到具体问题再去查资料，慢慢就熟练了，安全（参数化查询）和资源管理（using）是重中之重，一开始就要养成好习惯。