Nico Bellic Ответов: 1

С этим соединением уже связан открытый datareader, который должен быть закрыт в первую очередь

Привет,

Прежде всего, извините за мой английский (я француз).


Я хочу выбрать все свои пароли из моей базы данных (которые зашифрованы) и сохранить их в datareader, расшифровать их, а затем обновить расшифрованный пароль в базе данных.

Я получил ошибку, запустив этот код ("С этим соединением уже связан открытый DataReader, который должен быть закрыт в первую очередь").


Это мой код. :

try
     {
          connexion.Open();
          MySqlCommand sql = new MySqlCommand("SELECT * FROM station", connexion);
          MySqlDataReader dr = sql.ExecuteReader();

          while (dr.Read())
          {

                int id = (int)dr["idStation"];
                string pwd = (string)dr["pwdStation"];
                string pwdDecrypt = AesCryp.Decrypt(pwd);
                
                //error here        
                MySqlCommand cmdUpdate = new MySqlCommand("UPDATE station SET 
                pwdStation='" + pwdDecrypt + "' WHERE idStation='" + id + "';", 
                connexion);

                cmdUpdate.ExecuteNonQuery();


           }
                dr.Close();


           }
     catch (Exception ex)
     {
         MessageBox.Show(ex.Message);
     }


Что я уже пробовал:

Я новичок в программировании поэтому ничего не пробовал потому что застрял :/

Спасибо за вашу помощь.

1 Ответов

Рейтинг:
9

OriginalGriff

Вы можете открыть только один DataReader в соединении - пока он не будет закрыт, вы не сможете сделать ничего другого. И этот код закрывает DataReader только после того, как все строки были обработаны - так что вы не можете сделать обновление одного и того же соединения до тех пор, пока цикл не завершится, вам понадобится второй объект соединения, чтобы сделать это в цикле. И это при условии, что ошибки нет - если она есть, то соединение и связанный с ним DataReader остаются открытыми навсегда!

Но... это незначительная проблема по сравнению с реальным кодом!
Во-первых: никогда не объединяйте строки для построения SQL-команды. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:

SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?

Во - вторых, никогда не храните пароли в открытом тексте, никогда не шифруйте пароли-они оба представляют собой серьезную угрозу безопасности. Здесь есть некоторая информация о том, как это сделать: Хранение паролей: как это сделать.[^]

И помните: если это веб-сайт и у вас есть какие-либо пользователи из Европейского союза, то применяется GDPR, а это означает, что вы должны обрабатывать пароли как конфиденциальные данные и хранить их безопасным и безопасным способом. Текст или шифрование-это ни то, ни другое, и штрафы могут быть ... ГМ ... выдающийся. В декабре 2018 года немецкая компания получила относительно низкий штраф в размере 20 000 евро именно за это.

В-третьих, я настоятельно рекомендую вам создать свой SqlConnection и использовать объекты SqlCommand и DataReader в using блок - таким образом, они автоматически закрываются и удаляются, когда вы закончите с ними, независимо от того, как завершается код:
using (SqlConnection con = new SqlConnection(strConnect))
    {
    con.Open();
    using (SqlCommand cmd = new SqlCommand("SELECT Id, description FROM myTable", con))
        {
        using (SqlDataReader reader = cmd.ExecuteReader())
            {
            while (reader.Read())
                {
                int id = (int) reader["Id"];
                string desc = (string) reader["description"];
                Console.WriteLine("ID: {0}\n    {1}", id, desc);
                }
            }
        }
    }

Nico Bellic

Спасибо Вам за ваш ответ и Ваши советы.

OriginalGriff

Всегда пожалуйста!