暖阳的进步乐园

技术开发探讨之家

ASP.net(c#) 在ACCESS数据库中利用参数使用存储过程例子(防SQL注入)

我们要实现的在文本框中输入帐号,密码,按确定后,从Access数据库中检索是否帐号和密码正确,若正确,则弹出"登陆成功",错误则弹出"登陆失败".而这我们要用参数使用存储过程实现.

首先我们要建一张表,打开access数据库,在查询下的SQL视图输入:

create table admin_table(
id autoincrement primary key,
acc_name String(10),
acc_password String(10)
)

这样我们就建好了一张名为admin_table的表.

再执行下面的SQL语句,添加帐户名为admin密码为admin888的记录

insert into admin_table(acc_name,acc_password)
values('admin','admin888')

注明:以上的建表过程和添加记录完全可以使用设计器...看个人习惯吧!

接下来我们在default.aspx中做两个文本框,一个登陆按钮,如下所示:

在default.aspx.cs中用我们以前的做法,代码如下:

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Data.OleDb;

public partial class _Default : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        if (!Page.IsPostBack)
        {
            this.tbxName.Text = "";
            this.tbxPassWord.Text = "";
        }
    }

    protected void Button1_Click(object sender, EventArgs e)
    {

            string myString = "Provider=Microsoft.Jet.OleDb.4.0;Data Source=" + Server.MapPath("App_Data/mydata.mdb");
            string cmdText = "select * from admin_table where acc_name='" + this.tbxName.Text + "' and acc_password='" + this.tbxPassWord.Text + "'";
            OleDbConnection conn = new OleDbConnection(myString);
            conn.Open();
            OleDbCommand cmd = new OleDbCommand(cmdText, conn);
            int result = Convert.ToInt32(cmd.ExecuteScalar());
            if (result > 0)
            {
                Response.Write("<script>alert('登陆成功');</script>");
            }
            else
            {
                Response.Write("<script>alert('登陆失败');</script>");
            }

       
    }
}

在我们输入正确的admin和admin888后弹出:

然而很多初学者由于经验不够,很容易犯一些很严重的错误,导致系统的安全性大大降低,如果帐号你输入的是admin,而密码输入的是

admin' or '1=1

其结果是:

为什么会这样呢?理由很简单.其实根据

string cmdText = "select * from admin_table where acc_name='" + this.tbxName.Text + "' and acc_password='" + this.tbxPassWord.Text + "'";

那么你输入的

admin' or '1=1

等同于:

string cmdText = "select * from admin_table where acc_name='admin' and acc_password='admin' or '1=1' ";

明白了吧!这就是SQL注入攻击,SQL注入攻击一般出现在程序开发构造一个where子句伴随用户输入的时候.当然我们可以通过过滤非法字符来解决这个问题,但显然这不是最有效的途径,我们将通过OleDbCommand.Parameters属性的参数传值实现,将非法字符过滤掉.

修改后的代码如下:

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Data.OleDb;

public partial class _Default : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        if (!Page.IsPostBack)
        {
            this.tbxName.Text = "";
            this.tbxPassWord.Text = "";
        }
    }

    protected void Button1_Click(object sender, EventArgs e)
    {
            //定义连接字符串
            string myString = "Provider=Microsoft.Jet.OleDb.4.0;Data Source=" + Server.MapPath("App_Data/mydata.mdb");
            OleDbConnection conn = new OleDbConnection(myString);
            conn.Open();
            OleDbCommand cmd = new OleDbCommand("select * from admin_table where acc_name=? and acc_PassWord=?",conn);
            OleDbParameter paraName = new OleDbParameter("?", OleDbType.VarChar, 10);
            paraName.Value = this.tbxName.Text;
            cmd.Parameters.Add(paraName);
            OleDbParameter paraPassWord = new OleDbParameter("?", OleDbType.VarChar, 10);
            paraPassWord.Value = this.tbxPassWord.Text;
            cmd.Parameters.Add(paraPassWord);
            int result = Convert.ToInt32(cmd.ExecuteScalar());
            if (result > 0)
            {
                Response.Write("<script>alert('登陆成功');</script>");
            }
            else
            {
                Response.Write("<script>alert('登陆失败');</script>");
            }

       
    }
}

 下面这部分代码最关键:

OleDbParameter paraName = new OleDbParameter("?", OleDbType.VarChar, 10);
paraName.Value = this.tbxName.Text;
cmd.Parameters.Add(paraName);
OleDbParameter paraPassWord = new OleDbParameter("?", OleDbType.VarChar, 10);
paraPassWord.Value = this.tbxPassWord.Text;
cmd.Parameters.Add(paraPassWord);

需要注意的是这里的"?"如果是SQL的数据库是不一样的,这里并不讨论.

这次我们再次输入下面:

结果:

 

总结:利用参数化使用存储过程是我们必须掌握的知识,对于提高网站的安全性有很大帮助.希望更多朋友可以和我一起探讨.

阅读更多
个人分类: asp.net
想对作者说点什么? 我来说一句

access数据库创建存储过程

2013年05月17日 7KB 下载

在ACCESS 中调用后台存储过程

zgqtxwd zgqtxwd

2008-04-30 20:43:00

阅读数:96

没有更多推荐了,返回首页

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭