我们要实现的在文本框中输入帐号,密码,按确定后,从Access数据库中检索是否帐号和密码正确,若正确,则弹出"登陆成功",错误则弹出"登陆失败".而这我们要用参数使用存储过程实现.
首先我们要建一张表,打开access数据库,在查询下的SQL视图输入:
create table admin_table(
id autoincrement primary key,
acc_name String(10),
acc_password String(10)
)
这样我们就建好了一张名为admin_table的表.
再执行下面的SQL语句,添加帐户名为admin密码为admin888的记录
insert into admin_table(acc_name,acc_password)
values('admin','admin888')
注明:以上的建表过程和添加记录完全可以使用设计器...看个人习惯吧!
接下来我们在default.aspx中做两个文本框,一个登陆按钮,如下所示:
在default.aspx.cs中用我们以前的做法,代码如下:
using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Data.OleDb;
public partial class _Default : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
if (!Page.IsPostBack)
{
this.tbxName.Text = "";
this.tbxPassWord.Text = "";
} }
protected void Button1_Click(object sender, EventArgs e)
{
string myString = "Provider=Microsoft.Jet.OleDb.4.0;Data Source=" + Server.MapPath("App_Data/mydata.mdb");
string cmdText = "select * from admin_table where acc_name='" + this.tbxName.Text + "' and acc_password='" + this.tbxPassWord.Text + "'";
OleDbConnection conn = new OleDbConnection(myString);
conn.Open();
OleDbCommand cmd = new OleDbCommand(cmdText, conn);
int result = Convert.ToInt32(cmd.ExecuteScalar());
if (result > 0)
{
Response.Write("<script>alert('登陆成功');</script>");
}
else
{
Response.Write("<script>alert('登陆失败');</script>");
}
}
}
在我们输入正确的admin和admin888后弹出:
然而很多初学者由于经验不够,很容易犯一些很严重的错误,导致系统的安全性大大降低,如果帐号你输入的是admin,而密码输入的是
admin' or '1=1其结果是:
为什么会这样呢?理由很简单.其实根据
string cmdText = "select * from admin_table where acc_name='" + this.tbxName.Text + "' and acc_password='" + this.tbxPassWord.Text + "'";那么你输入的
admin' or '1=1等同于:
string cmdText = "select * from admin_table where acc_name='admin' and acc_password='admin' or '1=1' ";明白了吧!这就是SQL注入攻击,SQL注入攻击一般出现在程序开发构造一个where子句伴随用户输入的时候.当然我们可以通过过滤非法字符来解决这个问题,但显然这不是最有效的途径,我们将通过OleDbCommand.Parameters属性的参数传值实现,将非法字符过滤掉.
修改后的代码如下:
using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Data.OleDb;
public partial class _Default : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
if (!Page.IsPostBack)
{
this.tbxName.Text = "";
this.tbxPassWord.Text = "";
}
}
protected void Button1_Click(object sender, EventArgs e)
{
//定义连接字符串
string myString = "Provider=Microsoft.Jet.OleDb.4.0;Data Source=" + Server.MapPath("App_Data/mydata.mdb");
OleDbConnection conn = new OleDbConnection(myString);
conn.Open();
OleDbCommand cmd = new OleDbCommand("select * from admin_table where acc_name=? and acc_PassWord=?",conn);
OleDbParameter paraName = new OleDbParameter("?", OleDbType.VarChar, 10);
paraName.Value = this.tbxName.Text;
cmd.Parameters.Add(paraName);
OleDbParameter paraPassWord = new OleDbParameter("?", OleDbType.VarChar, 10);
paraPassWord.Value = this.tbxPassWord.Text;
cmd.Parameters.Add(paraPassWord); int result = Convert.ToInt32(cmd.ExecuteScalar());
if (result > 0)
{
Response.Write("<script>alert('登陆成功');</script>");
}
else
{
Response.Write("<script>alert('登陆失败');</script>");
}
}
}
下面这部分代码最关键:
OleDbParameter paraName = new OleDbParameter("?", OleDbType.VarChar, 10);paraName.Value = this.tbxName.Text;
cmd.Parameters.Add(paraName);
OleDbParameter paraPassWord = new OleDbParameter("?", OleDbType.VarChar, 10);
paraPassWord.Value = this.tbxPassWord.Text;
cmd.Parameters.Add(paraPassWord);
需要注意的是这里的"?"如果是SQL的数据库是不一样的,这里并不讨论.
这次我们再次输入下面:
结果:
总结:利用参数化使用存储过程是我们必须掌握的知识,对于提高网站的安全性有很大帮助.希望更多朋友可以和我一起探讨.