el_tot93 Ответов: 2

Как сделать так, чтобы срок действия пароля истек

я использую этот код для смены пароля 
private void Button2_Click(object sender, EventArgs e)
        {
            SqlDataAdapter ASDF = new SqlDataAdapter("select count (*) FROM tbluser1 where username ='" + textBox1.Text + "'AND password='" + textBox2.Text + "'", con);
            DataTable DS = new DataTable();
            ASDF.Fill(DS);
            errorProvider1.Clear();
            if (DS.Rows[0][0].ToString() == "1")
            {
                if (textBox3.Text == textBox4.Text)
                {
                    SqlDataAdapter cc = new SqlDataAdapter("update tbluser1 set password ='" + textBox3.Text + "' where username = '" + textBox1.Text + "'and password = '" + textBox2.Text + "'", con);
                    DataTable DF = new DataTable();
                    cc.Fill(DF);
                    MessageBox.Show("Password Changed....", "message", MessageBoxButtons.OK, MessageBoxIcon.Information);
                }
                else
                {
                    errorProvider1.SetError(textBox3, "UnMatch Password");
                    errorProvider1.SetError(textBox4, "UnMatch Password");
                }
            }
            else
            {
                errorProvider1.SetError(textBox1, "incorrect User Name");
                errorProvider1.SetError(textBox2, "incorrect Password");
            }
        }


Что я уже пробовал:

то, что я ищу, - это сделать так, чтобы пароль перестал работать через 90 дней, и я должен изменить его, вот и все.
я знаю, что у меня должен быть colame для даты последнего изменения

а это мой логин код 

SqlDataAdapter sda = new SqlDataAdapter("select count(*)  from tbluser1 where username='" + txtusername.Text.Trim() + "' and password='" + txtpassword.Text.Trim() + "'", sqlcon);
            DataTable dtbl = new DataTable();
            sda.Fill(dtbl);



            if (dtbl.Rows[0][0].ToString() == "1")
            {
                SqlDataAdapter From_sda = new SqlDataAdapter("select user_id , username from tbluser1 where username='" + txtusername.Text.Trim() + "' and password='" + txtpassword.Text.Trim() + "'", sqlcon);
                DataTable From_ds = new DataTable();
                From_sda.Fill(From_ds);
                String value1 = From_ds.Rows[0][1].ToString();
                int id = int.Parse(From_ds.Rows[0][0].ToString());

                Debug.WriteLine("value is :   " + value1);
                Class1.Txtusername = txtusername.Text;
                this.Hide();
                SqlDataAdapter sda1 = new SqlDataAdapter("select role , [from], Take, from2, Take2, from3, Take3, from4, Take4 from tbluser1 where username='" + txtusername.Text.Trim() + "' and password='" + txtpassword.Text.Trim() + "'", sqlcon);
                DataTable ds = new DataTable();
                sda1.Fill(ds);
                Researcher obj = new Researcher(ds.Rows[0][0].ToString(), ds.Rows[0][1].ToString(), ds.Rows[0][2].ToString(), ds.Rows[0][3].ToString(), ds.Rows[0][4].ToString(), ds.Rows[0][5].ToString(), ds.Rows[0][6].ToString(), ds.Rows[0][7].ToString(), ds.Rows[0][8].ToString());
                this.Hide();
                obj.Show();
            }
            else
            {
                MessageBox.Show("please check your username and password");
            }

2 Ответов

Рейтинг:
2

Patrice T 

SqlDataAdapter("select count(*)  from tbluser1 where username='" + txtusername.Text.Trim() + "' and password='" + txtpassword.Text.Trim() + "'", sqlcon);

Не обязательно решение вашего вопроса, но у вас есть еще одна проблема.
Никогда не создавайте SQL-запрос путем объединения строк. Рано или поздно вы сделаете это с помощью пользовательских вводов, и это откроет дверь к уязвимости под названием "SQL-инъекция", она опасна для вашей базы данных и подвержена ошибкам.
Одна кавычка в имени - и ваша программа выйдет из строя. Если пользователь вводит имя, например "Брайан О'Коннер", может привести к сбою вашего приложения, это уязвимость SQL-инъекции, и сбой-это наименьшая из проблем, вредоносный пользовательский ввод, и он продвигается к командам SQL со всеми учетными данными.
SQL-инъекция - Википедия[^]
SQL-инъекция[^]
Атаки SQL-инъекций на примере[^]
PHP: SQL-инъекция - руководство пользователя[^]
Шпаргалка по предотвращению инъекций SQL - OWASP[^]
Как я могу объяснить SQL-инъекцию без технического жаргона? - Обмен Стеками Информационной Безопасности[^]

el_tot93

Эй это приложение для windows никаких проблем

Рейтинг:
0

OriginalGriff

Только не это! Два главных греха в одном куске кода...

Никогда не объединяйте строки для построения команды SQL. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:

SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?

И еще есть то, как вы храните вещи ... Никогда не храните пароли в открытом виде - это серьезная угроза безопасности. Здесь есть некоторая информация о том, как это сделать: Хранение паролей: как это сделать.[^]

Исправьте их в первую очередь, во всем вашем приложении. Тогда беспокойтесь о незначительных проблемах, таких как истечение срока действия пароля!

el_tot93

Эй это приложение для windows никаких проблем

Richard Deeming

Затем просто удалите защиту паролем, поскольку вы неявно доверяете всем своим пользователям просматривать и изменять только те данные, которые им разрешены. 🤦‍♂️