ADO.NET连接字符串还是比较常用的，于是我研究了一下ADO.NET连接字符串生成器，在这里拿出来和大家分享一下，希望对大家有用。在 ADO.NET 的早期版本中，不会对具有串联字符串值的连接字符串进行编译时检查，因此在运行时，不正确的关键字会产生 ArgumentException。每个 .NET Framework 数据提供程序支持的连接字符串关键字的语法不同，这使得手动构造有效连接字符串变得很困难。为了解决这个问题，ADO.NET 2.0 为每个 .NET Framework 数据提供程序引入了新的连接字符串生成器。每个数据提供程序包括一个从 DbConnectionStringBuilder 继承的强类型连接字符串生成器类。下表列出了 .NET Framework 数据提供程序及其关联的ADO.NET连接字符串生成器类。

ConnectionStringBuilder 类  
System.Data.SqlClient  
SqlConnectionStringBuilder  
System.Data.OleDb  
OleDbConnectionStringBuilder  
System.Data.Odbc  
OdbcConnectionStringBuilder  
System.Data.OracleClient  
OracleConnectionStringBuilder 

连接字符串注入式攻击

#T#当使用动态字符串串联根据用户输入生成连接字符串时，可能发生连接字符串注入式攻击。如果未验证字符串并且未转义恶意文本或字符，则攻击者可能会访问服务器上的敏感数据或其他资源。例如，攻击者可以通过提供分号并追加其他值来发起攻击。连接字符串通过“last one wins”算法分析，恶意的输入被替换为合法的值。连接字符串生成器类旨在排除推测，防止出现语法错误和安全漏洞。它们提供与每个数据提供程序允许的已知键/值对相对应的方法和属性。每个类都保持一个固定的同义词集合，可以将同义词转换为相应的已知键名。将执行键/值对的有效性检查，无效对会引发异常。此外，还会以一种安全方式处理插入的值。

下面的示例演示 SqlConnectionStringBuilder 如何处理为 Initial Catalog 设置插入的额外值。
Visual Basic

Dim builder As New System.Data.SqlClient.SqlConnectionStringBuilder  
builder("Data Source") = "(local)"  
builder("Integrated Security") = True  
builder("Initial Catalog") = "AdventureWorks;NewValue=Bad"  
Console.WriteLine(builder.ConnectionString) 

C#

System.Data.SqlClient.SqlConnectionStringBuilder builder =  
new System.Data.SqlClient.SqlConnectionStringBuilder();  
builder["Data Source"] = "(local)";  
builder["integrated Security"] = true;  
builder["Initial Catalog"] = "AdventureWorks;NewValue=Bad";  
Console.WriteLine(builder.ConnectionString); 

输出结果表明，通过用双引号转义该额外值而不作为新的键/值对将其追加到连接字符串，SqlConnectionStringBuilder 可以正确处理此额外值。

data source=(local);Integrated Security=True;  
initial catalog="AdventureWorks;NewValue=Bad"