问题描述

关于数程序链接数据库的问题，向老手请教一下

目前还在学习阶段，语言是C/C#数据库是MYSQL，想请教一下几个问题;
1.客户端每次链接数据库的时候，有没有必要检查数据是否以及开启？测试的时候发现如果数据库没有启动或中途关关闭的话，程序会直接卡死或退出，本人的想法是每次连接数据库的时候用try catch之类的语句测试一下，不让程序卡死影响其它的功能，但是这样好像比较费性能，由于没有参与过比较好的案子这里向大家请教一下这样做好不好，或者有什么更好的解决方法。
2.给客户端调用的存储过程，输入的参数要不要检验是否合法，同样是性能问题，因为经验告诉我们不要信任用户的任何输入，前辈们也这样讲，我担心的是通过破解客户端中的内容，拿到数据库的一些信息以后直接绕过登录验证向存储过程传数据，从而污染数据库，不知道这种担心是否多余，另外还是性能问题，如果存储过程中的语句过多的话势必影响数据库的性能，是否有必要做取舍？
3.以我目前的水平来理解，如果一个程序要向数据库中读/取数据，那么这个程序中应该是要保存相应的数据库用户名和密码的，那么如何保证它们的安全？用户权限肯定是要设置的，但是只要有写权限就有可能向数据库中写入垃圾信息，一般比较正规的处理方法是怎样？

水平有限，可能讲的不是很清楚，大概就是那么回事，麻烦大家了！

解决方案

1 try catch能解决异常导致程序退出的问题，但是没法解决卡死的问题，要解决卡死的问题，你需要开一个线程，在线程里面连接判断。同时把connection对象的timeout设置地小一些。
2 如果是C#，用sqlparamater，这样可以防止sql拼接引起的注入问题。同时，对于敏感的业务，建议在服务器对格式和内容做额外的判断。性能没有你想得那么严重。再说再怎么考虑性能，首先正确性是第一的。
3 对密码做md5编码，然后把编码后的值存入数据库。登录判断的时候，对用户输入的密码也做md5，和存在数据库的比较。
避免垃圾数据一个是你的业务层的过滤和判断，一个是完善的日志，使得一旦有人搞破坏，你可以及时发现，并且用技术以外的手段追究他。

解决方案二：

客户端并发量不是很大，可以在程序开始的时候创建连接，然后使用数据库连接，程序退出的时候关闭连接。

数据库最怕的就是sql注入，所以参数检测是必须的。为了安全，尽量多做一些检测

用户密码可以自己加密等，然后程序中解密后再传入参数