我正在尝试阻止sql注入:比如1 = 1等。第一次这样做,我不确定我做得对吗?
以下是代码:连接字符串就在那里我只是为了这个问题而删除它。
public void btnSubmit_Click(object sender, EventArgs e)
{
String login = txtUser.Text;
String pass = txtPass.Text;
string connString = "";
SqlConnection conn = new SqlConnection(connString);
conn.Open();
SqlCommand cmd = new SqlCommand("Select Users,Pass from logintable where Users='" + txtUser.Text + "' and Pass='" + txtPass.Text + "'", conn);
cmd.Parameters.Add("@Users", SqlDbType.VarChar, 20).Value = login;
SqlDataReader dr=cmd.ExecuteReader();
if(dr.Read())
{
new Login().Show();
}
else
{
lblFail.Text="Invalid username or password";
}
}
答案 0 :(得分:2)
您正在将值直接传递给查询。它导致Sql注入。所以你需要使用Sql参数来避免它。这是给你的一个想法
SqlCommand cmd = new SqlCommand("Select Users,Pass from logintable where Users=@user and Pass=@password", conn);
cmd.Parameters.AddWithValue("@user", txtUserName.Text);
cmd.Parameters.AddWithValue("@password", txtPassword.Text);
reader = cmd.ExecuteReader();
答案 1 :(得分:1)
请注意您在以下字符串中使用字符串连接:
"Select Users,Pass from logintable where Users='" + txtUser.Text + "' and Pass='" + txtPass.Text + "'"
这就是使您的代码易于注入的原因。您需要参数占位符:
"Select Users, Pass from logintable where Users=@Users and Pass=@Pass", conn);
您可以找到有关如何正确使用参数here的完整示例。
答案 2 :(得分:0)
不,这是完全错误的。您仍然可以通过txtUser.Text和txtPass.Text注入,因为您正在使用字符串连接。
您需要在查询中使用这两个值的参数,然后在执行前将两个.Text属性绑定到查询上。
SqlCommand cmd = new SqlCommand("Select Users,Pass from logintable where Users=@username and Pass=@password", conn);
cmd.Parameters.AddWithValue("@username", txtUser.Text);
cmd.Parameters.AddWithValue("@password", txtPass.Text);
当然,您不应该像这样直接在明文中存储密码。你应该研究proper password storage practice!
答案 3 :(得分:0)
您正在使用Command对象但是您没有参数化该值会使其失败,您可以在命令对象上使用AddWithValue()方法来定义其参数,
string query = "Select Users,Pass from logintable where Users=@user and Pass=@pass";
SqlCommand cmd = new SqlCommand(query, conn);
cmd.Parameters.AddWithValue("@user", txtUser.Text);
cmd.Parameters.AddWithValue("@pass", txtPass.Text);
此外,您可以使用ExecuteScalar()对象中的Command而不是使用DataReader对象来获取结果上的单个值。
试试这段代码:
string connStr = "connection string here";
string sqlStatement = @"SELECT COUNT(*) TotalCount
FROM logintable
WHERE Users=@user and Pass=@pass";
using (SqlConnection conn = new SqlConnection(connStr))
{
using(SqlCommand comm = new SqlCommand())
{
comm.Connection = conn;
comm.CommandText = sqlStatement;
comm.CommandType = CommandType.Text;
comm.Parameters.AddWithValue("@user", txtUser.Text);
comm.Parameters.AddWithValue("@pass", txtPass.Text);
try
{
conn.Open();
int _result = Convert.ToInt32(comm.ExecuteScalar());
if (_result > 0)
{
new Login().Show();
}
}
catch(SqlException e)
{
// do something with the exception
// do not hide it
// e.Message.ToString()
}
}
}
正确编码
using语句进行propr对象处理try-catch块来正确处理对象答案 4 :(得分:0)
您永远不应该使用字符串连接构造SQL语句,始终使用参数化查询。请尝试以下代码:
SqlCommand cmd = new SqlCommand("Select Users, Pass from logintable where Users= @Users AND Pass=@Pass", conn);
cmd.Parameters.Add("@Users", SqlDbType.VarChar, 20);
cmd.Parameters.Add("@Pass", SqlDbType.VarChar, 20);
cmd.Parameters["@Users"].Value = login;
cmd.Parameters["@Pass"].Value = pass;
conn.Open();
SqlDataReader reader = cmd.ExecuteReader();
if (reader.Read())
{
new Login().show();
}
else
{
lblFail.Text = "Invalid username and password";
}
reader.Close();
reader.Dispose();
conn.Close();
conn.Dispose();
希望这会有所帮助。您应该在try-catch块中使用上面的代码,并在finally块中使用Close / Dispose调用。