public partial class FormLogin : Form
{
private OleDbConnection connection = new OleDbConnection();
//private bool CheckUserName = false;
public FormLogin()
{
InitializeComponent();
connection.ConnectionString = @"Provider=Microsoft.ACE.OLEDB.12.0;Data Source=D:\Class\This Semester\C#\Code\Access Login App\Database1.accdb;Persist Security Info=False;";
}
private void Form1_Load(object sender, EventArgs e)
{
try
{
connection.Open();
DBCheckLabel.Text = "Connected";
connection.Close();
} catch(Exception ex)
{
MessageBox.Show("Error:" + ex);
}
}
private void log_in_btn_Click(object sender, EventArgs e)
{
try
{
OleDbCommand command = new OleDbCommand();
connection.Open();
command.Connection = connection;
command.CommandText = "select * from acctbl where Username=" + txt_bx_Username.Text + "and Password ='" + txt_bx_Password.Text + "';";
OleDbDataReader reader = command.ExecuteReader();
while (reader.Read())
{
string username = reader.GetValue(reader.GetOrdinal("UserName")).ToString();
string password = reader.GetValue(reader.GetOrdinal("Password")).ToString();
if (username.Equals(txt_bx_Username.Text))
{
if (password.Equals(txt_bx_Password.Text))
{
this.Hide();
FormProfile f1 = new FormProfile();
f1.Show();
}
else
MessageBox.Show("Incorrect Pass");
}
else
MessageBox.Show("Incorrect Username");
}
reader.Close();
connection.Close();
}
catch (Exception ex)
{
MessageBox.Show("Error: " + ex);
connection.Close();
}
}
}
以下是登录页面的代码。如果用户名和密码正确,则转到下一步,但如果用户名或密码不匹配则不在else块中显示消息。
private void log_in_btn_Click(object sender, EventArgs e)
{
try
{
OleDbCommand command = new OleDbCommand();
connection.Open();
command.Connection = connection;
command.CommandText = "select `UserName`, `Password` from acctbl;";
OleDbDataReader reader = command.ExecuteReader();
while (reader.Read())
{
string username = reader.GetValue(reader.GetOrdinal("UserName")).ToString();
string password = reader.GetValue(reader.GetOrdinal("Password")).ToString();
if (username.Equals(txt_bx_Username.Text))
{
if (password.Equals(txt_bx_Password.Text))
{
this.Hide();
FormProfile f1 = new FormProfile();
f1.Show();
}
else
{
MessageBox.Show("Incorrect Pass");
}
}
else
{
MessageBox.Show("Incorrect Username");
}
}
reader.Close();
connection.Close();
}
catch (Exception exbtn)
{
MessageBox.Show("Error" + exbtn);
connection.Close();
}
}
在获得本网站的帮助后,我将其编码如下。从数据库记录中获取所有值并检查它是否与输入的用户名匹配,然后检查是否与记录的密码匹配。如果没有,则显示消息框。现在它工作正常。
答案 0 :(得分:1)
您的代码很危险。
它有几个安全问题。
您的代码不起作用的原因非常简单:您尝试使用给定的用户名和密码从数据库中读取记录。如果用户名或密码不正确,则不会检索任何记录,因此while(reader.Read())永远不会执行。
如果你做检索记录,比较用户名和密码是完全没用的,它们总是匹配,因为你只是从数据库中读取它们。
修复SQL注入问题,存储密码哈希值而不是纯文本密码,并使用不同的算法进行检查:
尝试使用给定的用户名和哈希密码从数据库中读取记录,如果没有找到记录则返回错误,或者仅使用用户名从数据库中读取记录检索密码哈希。
在任何一种情况下,如果出现任何问题,只需返回一般错误消息。不要提供有关它的用户名或密码错误的信息。只是一个简单的“不正确的用户名或密码”就足够了。