要想充分发挥ADO.NET的优势,不仅需要全面、深入理解ADO.net编程模型,及时总结经验、技巧也十分重要。ADO已经有多年的实践经验,ADO.NET以此为基础,提供了更加丰富、强大的工具;尽管如此,ADO.NET的设计目标毕竟不是提供一个即插即用的工具,它不会把所有的编程工作简化到仅靠鼠标点击就可以完成的程度。
ADO.NET包含了一大堆代表数据访问模型中各种逻辑实体的对象,其中尤以连接、事务这两个对象最为重要。连接的作用是建立一个与后端数据库通信的通道,创建连接对象必须以特定的.NET数据提供者为基础。事务对象可以在已有的连接对象上创建,也可以通过显式地执行一个BEGIN TRAN SQL语句创建。虽然理论很简单,但实际上,围绕连接、事务的不确定因素很多,而且它们对应用整体的稳定性和效率有着至关紧要的影响。
如何保存连接字符串,保护连接字符串中可能包含的敏感信息(例如密码)?怎样设计一个完善的数据访问策略,既考虑到安全性(即身份验证、授权),却又不至于对性能和可伸缩性造成太大的影响?如果需要用到事务,那么如何高效地实现和控制事务?采用自动事务还是手动事务?在使用ADO.NET时,这些问题都必须仔细考虑。
一、连接字符串,连接池
数据库连接是一种重要的、有限的、开销昂贵的资源,因此用好连接对象是任何应用的最基本的要求。使用数据库连接的要点可总结如下:
保存连接字符串应注意安全。
打开连接应迟,关闭连接应早。
连接字符串是访问数据库的钥匙。连接字符串除了说明要访问的数据之外,还包含了用户为什么可以访问那些数据的身份证明。在执行数据库操作时,用户身份证明是确定数据访问权限的最重要的因素。
1.1 保存连接字符串
目前,硬编码的连接字符串具有最好的性能,因为它们直接编译进了应用的代码之中。然而,硬编码的字符串影响程序的灵活性,一旦连接字符串改变,应用程序必须重新编译。
将连接字符串保存到外部提高了灵活性,代价是访问外部字符串需要付出额外的开销。但在绝大多数情况下,由此导致的性能开销可以忽略不计,真正需要担心的是安全问题。例如,攻击者可能修改、窃取连接字符串。将连接字符串保存到外部环境的常见途径有:配置文件,UDL文件,Windows注册表。
.NET框架配置文件以纯文本文件的形式部署,访问方便。如果连接字符串包含密码,文本格式将是最大的缺陷所在,因为密码将以明文的形式保存。可以考虑引入一个专用的加密/解密引擎,不过这部分工作需要开发者自己完成。