envals Ответов: 2

Как я делаю C# изменить код пароля

Я могу проверить свой пароль, и messagebox отражает пароль, успешно обновленный. Но моя база данных не обновлялась

Что я уже пробовал:

private void btnChangePW_Click(object sender, EventArgs e)
{
    SqlConnection con = new SqlConnection(constring);
    con.Open();
    SqlCommand cmd = new SqlCommand("Select EmployeeID, Password From Employee WHERE EmployeeID='" + UserID + "' and Password='" + txtOldPW.Text + "'", con);
    SqlDataAdapter da = new SqlDataAdapter(cmd);
    DataTable dt = new DataTable();
    da.Fill(dt);
    errorProvider1.Clear();
    if (dt.Rows[0][0].ToString() == "1")
    {
        if (txtNewPW.Text == txtConfirmPW.Text)
        {
            SqlCommand cmdQuery = new SqlCommand("Update Employee set
            Password='" + txtConfirmPW + "'where EmployeeID='" + UserID + "'
            and Password='" + txtConfirmPW.Text + "'");
            MessageBox.Show("Password Successfully Updated!", "Message",
            MessageBoxButtons.OK, MessageBoxIcon.Information);
        }
        else
        {
            errorProvider1.SetError(txtNewPW, "Password not matched!");
            errorProvider1.SetError(txtConfirmPW, "Password not matched!");
        }
    }
    else
    {
        errorProvider1.SetError(txtOldPW, "Incorrect Password!");
    }

F-ES Sitecore

Что происходит, когда вы проходите через код? По какому пути он идет, вы получаете исключения? Попробуйте заключить слово "пароль" в квадратные скобки, так как это может быть зарезервированное слово. Кроме того, используйте параметризованные запросы, поскольку ваш код открыт для атак SQL-инъекций, google for "ado.net параметризованные запросы sql-инъекции"

2 Ответов

Рейтинг:
12

OriginalGriff

Не делай этого так!
Есть серьезные проблемы с вашим кодом:
1) Никогда не объединяйте строки для построения SQL-команды. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:

SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?
И учитывая, что вы делаете это для смены пароля, скорее всего, вы делаете это везде - включая экран входа в систему. А это значит, что я могу уничтожить или украсть вашу базу данных, даже не входя в нее, или войти под вашим именем, не зная вашего пароля...

2) Никогда не храните пароли в открытом тексте - это серьезная угроза безопасности. Здесь есть некоторая информация о том, как это сделать: Хранение паролей: как это сделать.[^]

3) никогда не предполагайте, что пользователь набрал свой старый пароль правильно! Если он этого не сделает, вы не получите возвращенных строк, и это означает, что ваш код завершится сбоем с исключением "вне диапазона".

Maciej Los

5ed!

Richard Deeming

Кроме того, я подозреваю, что вторая ссылка на txtConfirmPW в запросе обновления действительно должно быть txtOldPW. :)

Рейтинг:
1

Patrice T

Вы должны использовать отладчик и проверить реальный текст этой SQL-команды, вы можете получить сюрприз:

SqlCommand cmdQuery = new SqlCommand("Update Employee set
Password='" + txtConfirmPW + "'where EmployeeID='" + UserID + "'
and Password='" + txtConfirmPW.Text + "'");

Никогда не создавайте SQL-запрос путем объединения строк. Рано или поздно вы сделаете это с помощью пользовательских вводов, и это откроет дверь к уязвимости под названием "SQL-инъекция", она опасна для вашей базы данных и подвержена ошибкам.
Одна кавычка в имени - и ваша программа выйдет из строя. Если пользователь вводит имя, например "Брайан О'Коннер", может привести к сбою вашего приложения, это уязвимость SQL-инъекции, и сбой-это наименьшая из проблем, вредоносный пользовательский ввод, и он продвигается к командам SQL со всеми учетными данными.
SQL-инъекция - Википедия[^]
SQL-инъекция[^]
Атаки SQL-инъекций на примере[^]
PHP: SQL-инъекция - руководство пользователя[^]
Шпаргалка по предотвращению инъекций SQL - OWASP[^]