我无法在Delphi中使用SQL参数,如果我尝试使用它们来保护我的登录表单,我在登录时会收到以下错误
[0x0005]不支持操作
我使用的代码是:
SQLQuery1.SQL.Text := 'SELECT * FROM registered WHERE email= :Email'+
' and login_pass= :Password';
SQLQuery1.ParamByName('email').AsString := Email;
SQLQuery1.ParamByName('password').AsString := Password;
SQLQuery1.Open; // Open sql connection
if SQLQuery1.recordCount >0 then form2.Show;
但它不起作用,下面的代码工作正常,但总是不安全:
SQLQuery1.SQL.Text := 'SELECT * FROM registered WHERE email="'+Email+
'" and login_pass= "'+Password+'"';
我正在使用TMySQLConnection和TMySQLQuery组件,将ParamsCheck设置为True,并使用上面提到的第一个不起作用的代码,如何解决问题!
任何建议或帮助将不胜感激。
谢谢
答案 0 :(得分:3)
检查“RecordCount”的帮助。如果数据集无法确定返回的记录数,则可能会引发异常。如果删除它并简单地检查数据集是否不是IsEmpty怎么办?
答案 1 :(得分:2)
使用盐渍哈希进行密码检查
在数据库中存储未加密的密码是禁止的
请改用salted哈希:
SELECT * FROM registered WHERE email = :email
AND passhash = SHA2(CONCAT(salt,:password),512)
您可以通过执行以下操作将passhash存储在DB中:
INSERT INTO registered (email, passhash, salt)
VALUES (:email, SHA2(CONCAT(:salt,:password),512), :salt)
盐不需要是真正随机的,但它确实需要有些随机且对每个用户都不同。