Member 14081438 Ответов: 2

Привет, могу я попросить о помощи? Что я собираюсь делать? Мне нужна форма входа в систему, основанная на типе пользователя или роли в Microsoft C# с использованием базы данных Microsoft access

Я не знаю, как это закодировать, я не знаю, как войти в систему на основе ролей пользователей

Что я уже пробовал:

пробовать
{
соединение.ConnectionString = @"Provider=Microsoft.Jet.OLEDB.4.0;Источник данных=C:\Users\dhdum\\Документы Ediwow.МДБ;сохранять сведения о безопасности= false в";
соединение.Открыть();
Команда oledbcommand объект = новый объект oledbcommand();
команда.Соединение = соединение;
команда.Свойства commandtext = "выбрать этот столбец из таблицы table1, где пользователь ='" + текстовое поле textbox1.Текст.Отделка() + "' и пароль = '" + поле textbox2.Текст + "'" ; ;

OleDbDataReader reader = команда.Метода executereader();





int Count = 0;
в то время как (читатель.читать())
{
Count = Count + 1;
}
если(ДТ.Строк.Count > 0)
UserType = dt.Rows[0]["UserType"].Метод toString().Отделка();
если (элемент textbox1.Текст == "админ" и усилитель; & поле textbox2.Текст =="Админ")
{
Ящик для сообщений.Показать("Добро Пожаловать Админ");
соединение.Закрывать();
этот.Скрыть();
ADMIN_PAGE ADMIN_PAGE = новый ADMIN_PAGE();
ADMIN_PAGE.Метод showdialog();
}


if (UserType == "Admin")
{

Ящик для сообщений.Шоу("Welcome Teahcer");

соединение.Закрывать();
этот.Скрыть();
TEACHER_START_UP TEACHER_START_UP = новый TEACHER_START_UP();
TEACHER_START_UP.Метод showdialog();



}
еще
Ящик для сообщений.Показать("имя пользователя или пароль не совпадают");
текстовое поле textbox1.Текст = "";
поле textbox2.Текст = "";
текстовое поле 1.Сосредоточить();
соединение.Закрывать();


}
поймать (исключение бывший)
{
Ящик для сообщений.Показать("ошибка" + ex);
соединение.Закрывать();



}
}

2 Ответов

Рейтинг:
1

OriginalGriff

Только не это! Никогда не объединяйте строки для построения команды SQL. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:

SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?

И пока мы этим занимаемся, никогда не храните пароли в открытом тексте - это серьезный риск для безопасности. Здесь есть некоторая информация о том, как это сделать: Хранение паролей: как это сделать.[^]

Рейтинг:
1

W∴ Balboos, GHB

Вы поставили перед собой принципиально непримиримую задачу.


  • Вы хотите войти в систему пользователя на основе его личности.
  • Вы не знаете, кто этот пользователь, пока он не войдет в систему.

Эти два понятия не могут быть удовлетворены одновременно. Вам нужно решить, где сократить ваши требования. Очевидным местом является прямой и очень простой вход в систему, достаточный для идентификации пользователя. Это дает вам ключ к их роли, так что вы можете настроить остальную часть процедуры.

Если только вы не хотите просто спросить их...!