SqlConnectionStringBuilder 是什么,为什么不用字符串拼接
SqlConnectionStringBuilder是 .NET 内置的安全、类型化工具类,专用于构造和解析 SQL Server 连接字符串。它自动处理引号转义、空格保留、特殊字符编码(比如密码含分号或等号),避免手动拼接时因
;或
=导致的解析错误。直接拼接字符串极易引入漏洞或运行时异常,比如:
"Password=abc;123"会被截断为
Password=abc,后续部分被当成新键值对解析。
基础用法:设置服务器、数据库、认证方式
创建实例后,通过属性赋值即可生成合法连接字符串,无需记忆格式顺序:
var builder = new SqlConnectionStringBuilder(); builder.DataSource = "192.168.1.100,1433"; builder.InitialCatalog = "MyAppDB"; builder.UserID = "sa"; builder.Password = "P@ssw0rd!"; builder.IntegratedSecurity = false; // 使用 SQL 账户 // 输出:Data Source=192.168.1.100,1433;Initial Catalog=MyAppDB;User ID=sa;Password=P@ssw0rd!;设置
IntegratedSecurity = true会自动清除
UserID和
Password,并忽略它们
DataSource支持 IP+端口、主机名、命名实例(如
SERVER\INSTANCE)
InitialCatalog是数据库名,不是逻辑名称或别名,必须真实存在
常见安全与兼容性配置项
生产环境常需显式控制加密、超时、连接池等行为,这些都可通过
SqlConnectionStringBuilder安全设置:
Encrypt = true强制启用 TLS 加密(SQL Server 2017+ 默认要求,旧版需配合
TrustServerCertificate = false)
ConnectTimeout = 15控制初始连接等待秒数,避免阻塞过久
Pooling = true(默认)启用连接池;设为
false适合调试或极短生命周期场景
ApplicationName = "OrderService"方便在 SQL Server 的
sys.dm_exec_sessions中识别来源 不要手动添加
MultipleActiveResultSets=True除非真需要 MARS,它有轻微性能开销
从现有连接字符串反向解析再修改
已有连接字符串(如来自配置文件)可安全载入并局部更新,避免正则或分割解析的风险:
var connStr = "Server=localhost;Database=TestDB;Trusted_Connection=true;"; var builder = new SqlConnectionStringBuilder(connStr); builder.ApplicationName = "MigrationTool"; builder.ConnectTimeout = 30; // builder.ToString() 返回新字符串,原 connStr 不变
注意:
SqlConnectionStringBuilder对大小写不敏感,但属性名是 PascalCase;解析时会自动标准化键名(如
"server"→
"Data Source")。如果配置中混用不同键名(
uid/
User ID),它能统一归一化,这点比手写字典可靠得多。
真正容易被忽略的是:某些配置项(如
Encrypt)在旧版 .NET Framework 中默认为
false,而 .NET 6+ 默认为
true,跨版本迁移时若未显式设置,可能触发连接失败或证书警告。
