Member 13800132 Ответов: 3

Запрос хэшированного столбца в SQL

В настоящее время я создаю приложение C#, которое я хотел бы иметь базовую форму входа в систему, прежде чем оно откроет основную форму.

В SQL у меня есть базовая таблица пользователей со столбцами; имя пользователя, пароль.
Я использую хэширование, чтобы не сделать пароль видимым в SQL, чтобы быть безопасным.
Я следовал инструкциям, приведенным в начале этой статьи. Безопасное хранение паролей в базе данных SQL Server[^]

Проблема в том, что теперь пароли хэшируются, и я не могу запустить запрос на вход в свое приложение.
Что мне нужно добавить, чтобы он мог читать хэш пароля?

Именно этим я сейчас и занимаюсь;
Он прекрасно работает, когда пароль отображается в SQL в виде базовых текстовых символов VARCHAR.

<pre lang="c++">

            SqlConnection sqlconn = new SqlConnection(@"Server= localhost; Database= DatabaseName; Integrated Security=True;");
            String query = "Select * from Users where LoginName = '" + userlogin.Text.Trim() + "'and PasswordHash = '" + passwordbox.Text.Trim() + "'";
            SqlDataAdapter sda = new SqlDataAdapter(query, sqlconn);
            DataTable dtbl = new DataTable();
            sda.Fill(dtbl);
            if (dtbl.Rows.Count == 1)

            {


                this.Hide();
                Form1 form1 = new Form1();
                form1.Show();


Что я уже пробовал:

Я пробовал искать статьи на эту тему, но ни одна из них не кажется мне очень прямолинейной?

3 Ответов

Рейтинг:
20

phil.o

Вы не полностью следовали статье, на которую ссылаетесь, так как не написали никакой хранимой процедуры для выполнения операции входа в систему.
Поскольку соление/хэширование происходит на сервере, у вас нет выбора, кроме как создать эту хранимую процедуру для выполнения соления/хэширования на стороне сервера.

Maciej Los

5ed!

phil.o

Спасибо :)

Рейтинг:
13

OriginalGriff

Не делай этого так! Никогда не объединяйте строки для построения команды SQL. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:

SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?

А на регистрационной форме?
Все что мне нужно сделать это попробовать в поле usrename:
x' --
И SQL войдет в систему как любой пользователь, который мне нравится, без пароля ...

Не возвращает все столбцы: Вы уже знаете, что такое имя пользователя, и игнорируете все остальное.

Проверить хэш очень просто. Здесь есть некоторая информация о том, как это сделать: Хранение паролей: как это сделать.[^]

Рейтинг:
0

MadMyche

Поэтому, как только вы получите все эти процедуры на месте, вы будете использовать код примерно так, чтобы проверить.

SqlConnection sqlconn = new SqlConnection(@"Server= localhost; Database= DatabaseName; Integrated Security=True;");

SqlCommand cmd = new SqlCommand("uspLogin", sqlconn);
cmd.CommandType = CommandType.StoredProcedure;

SqlParameter spResp = New SqlParameter("@responseMessage", SqlDbType.NVarChar, 32);
spResponse.Direction = ParameterDirection.Output;

cmd.Parameters.AddWithValue("@pLoginName", userlogin.Text.Trim());
cmd.Parameters.AddWithValue("@pPassword", passwordbox.Text.Trim());
cmd.Parameters.Add(spResp);

sqlConn.Open();
cmd.ExecuteNonQuery();
string LoginStatus = (string)spResp.value;
cmd.Dispose();
sqlconn.Close();
sqlconn.Dispose();

if (LoginStatus != "User successfully logged in") {
	// Login Failed
} else {
	// continue into application
}
Пожалуйста, обратите внимание, что я только проверяю, был ли логин успешным, а не проверяю, почему они потерпели неудачу (имя пользователя или пароль).
Стандарты безопасности, которые я использую, диктуют, что мы не говорим людям, почему они потерпели неудачу. поскольку это говорит слишком много информации; главным образом, если учетная запись существует или нет

Ссылка на SqlParameter:
Класс SqlParameter (System.Data.SqlClient) | Microsoft Docs[^]