我正在处理一项要求,必须从我的应用程序更改当前用户的oracle连接密码.
我发现我可以使用以下语句通过SQL来完成此任务:
ALTER USER *username* IDENTIFIED BY *password*
但是,因为用户名和密码未作为带引号的字符串发送到数据库,所以不能使用绑定参数. (此答案也为stated)
当我连接一个字符串并将其作为常规sql查询通过我的Entity Framework DbContext实例发送时,我有一个可行的解决方案,如下所示:
using (var context = _dbContextFactory.CreateContext())
{
await context.Database.ExecuteSqlCommandAsync(
$"ALTER USER {username} IDENTIFIED BY \"{newPassword}\"");
}
这种方法的缺点是,通过在字符串中隐藏密码,我具有SQL注入漏洞,并且用户无法在密码中使用某些保留字符,例如;和“
我不关心username参数,因为它在后端代码中管理,但是密码直接来自用户输入.
是否可以使用安全方法从C#更改Oracle数据库中的当前用户密码?我也愿意接受其他方法,例如差异方法或在数据库中创建存储过程,只要可以在C#客户端应用程序中实现即可.
我们使用的是Oracle版本12,因此无法使用IDENTIFIED BY VALUES”语法