如何根据用户详细信息从数据库将值传递给标签

时间:2019-02-01 02:29:11

标签: c# sql sql-server

我有一个登录表,每个用户都有不同的角色,例如Staff,Admin。
我可以让用户成功登录,并在控制台应用程序的页面之间显示其用户名。
我正在尝试在用户名标签旁边添加一个新标签,因此在登录后,下一页将显示以下内容:管理员:Johny或Staff:Bob

我试图做的是将查询更改为:

  

“从User_Table中选择角色,其中eb_number ='” + usernametxt.Text +“'和Password ='” + textBox1.Text +“',co​​n);

但这也不起作用。

private void loginbtn_Click(object sender, EventArgs e)
{

    //GRANT ACCESS TO THE DATABASE WITH USERNAME AND PASSWORD WHICH IS STORED IN THE DATABASE.
    SqlConnection con = new SqlConnection(conString);
    con.Open();
    if (con.State==System.Data.ConnectionState.Open)
    {
        SqlDataAdapter sda = new SqlDataAdapter("SELECT Count(*) From User_Table WHERE eb_number='" + usernametxt.Text + "' and Password = '" + textBox1.Text + "'",con);
        DataTable dt = new DataTable();
        sda.Fill(dt);
        if (dt.Rows[0][0].ToString() == "1")
        {
            this.Hide();

            Main ss = new Main(usernametxt.Text); //usernametxt is passed in to prevent error
            ss.Show();
            MessageBox.Show("Logged in sucessfully");

        }
        else
        {
            MessageBox.Show("Incorrect Username/Password Combination. Try Again");
        }
    }
}

Main.cs 

    public Main(string Username/*, string Role*/) //passing username values 
    {
        InitializeComponent();
        Username_lbl.Text = Username;  //Displaying  username 
        //Main_Role_lbl.Text = Role;

在他的会议记录中,我的代码只是让我登录和注销以读取用户名和密码。我不确定是否可以通过这种方式添加来在SQL查询中搜索用户名的角色?我期望代码执行的操作是使用Admin:Johny或Staff:Bob

这样的登录名

1 个答案:

答案 0 :(得分:2)

在这里,您可以执行类似的操作:

private void loginbtn_Click(object sender, EventArgs e)
{
    var conString = "ReplaceWithMyConnectionString";
    string userRole = null;

    using (var con = new SqlConnection(conString))
    {
        con.Open();

        var cm = con.CreateCommand();
        cm.CommandType = System.Data.CommandType.Text;
        cm.CommandText = "SELECT TOP 1 Role FROM User_Table WHERE eb_number = @eb_number AND and Password = @Password";
        cm.Parameters.Add(new SqlParameter("@eb_number", System.Data.SqlDbType.VarChar, 50) { Value = usernametxt.Text });
        cm.Parameters.Add(new SqlParameter("@Password", System.Data.SqlDbType.VarChar, 50) { Value = textBox1.Text });

        using (var reader = cm.ExecuteReader(System.Data.CommandBehavior.SingleRow))
        {
            if (reader.Read())
            {
                userRole = reader["Role"].ToString();
            }
        }
    }

    if (userRole != null)
    {
        this.Hide();

        Main ss = new Main(usernametxt.Text, userRole); //usernametxt is passed in to prevent error
        ss.Show();
        MessageBox.Show("Logged in sucessfully");
    }
    else
    {
        MessageBox.Show("Incorrect Username/Password Combination. Try Again");
    }
}

有些不同之处,我将解释其背后的原因:

  • 我用参数替换了您在SQL上执行的字符串连接。这是为了避免SQL注入。你想知道吗 如果用户在输入字符'时会发生什么 用户名或密码文本框?还有更多内容,请研究这个主题。
  • 我正在using语句中实例化您的连接。当我们完成db的工作后,这将确保您的连接已关闭(配置)。
  • 用精简的SqlCommand / SqlDataReader类替换了DataAdapter / DataTable。
  • 我以可以尽快关闭连接且不会被MessageBox.Show()中断的方式分离逻辑。

也是非常重要的一点,切勿将密码以明文形式存储在数据库中,请对散列函数以及为什么在这种情况下使用它们进行一些研究。

我希望这会有所帮助。

相关问题
最新问题