ASP.net(c#) 在ACCESS数据库中利用参数使用存储过程例子(防SQL注入)

来源：互联网发布：淘宝全球购入口编辑：程序博客网时间：2024/04/27 08:52

我们要实现的在文本框中输入帐号，密码，按确定后，从Access数据库中检索是否帐号和密码正确，若正确，则弹出"登陆成功"，错误则弹出"登陆失败"．而这我们要用参数使用存储过程实现．

首先我们要建一张表，打开access数据库，在查询下的SQL视图输入:

create table admin_table(
id autoincrement primary key,
acc_name String(10),
acc_password String(10)
)

这样我们就建好了一张名为admin_table的表.

再执行下面的SQL语句,添加帐户名为admin密码为admin888的记录

insert into admin_table(acc_name,acc_password)
values('admin','admin888')

注明:以上的建表过程和添加记录完全可以使用设计器...看个人习惯吧!

接下来我们在default.aspx中做两个文本框,一个登陆按钮,如下所示:

在default.aspx.cs中用我们以前的做法,代码如下:

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Data.OleDb;

public partial class _Default : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        if (!Page.IsPostBack)
        {
            this.tbxName.Text = "";
            this.tbxPassWord.Text = "";
        }    }

protected void Button1_Click(object sender, EventArgs e)
{

            string myString = "Provider=Microsoft.Jet.OleDb.4.0;Data Source=" + Server.MapPath("App_Data/mydata.mdb");
            string cmdText = "select * from admin_table where acc_name='" + this.tbxName.Text + "' and acc_password='" + this.tbxPassWord.Text + "'";
            OleDbConnection conn = new OleDbConnection(myString);
            conn.Open();
            OleDbCommand cmd = new OleDbCommand(cmdText, conn);
            int result = Convert.ToInt32(cmd.ExecuteScalar());
            if (result > 0)
            {
                Response.Write("<script>alert('登陆成功');</script>");
            }
            else
            {
                Response.Write("<script>alert('登陆失败');</script>");
            }

}
}

在我们输入正确的admin和admin888后弹出:

然而很多初学者由于经验不够,很容易犯一些很严重的错误,导致系统的安全性大大降低,如果帐号你输入的是admin,而密码输入的是

admin' or '1=1
其结果是:

为什么会这样呢?理由很简单.其实根据

string cmdText = "select * from admin_table where acc_name='" + this.tbxName.Text + "' and acc_password='" + this.tbxPassWord.Text + "'";
那么你输入的

admin' or '1=1
等同于:

string cmdText = "select * from admin_table where acc_name='admin' and acc_password='admin' or '1=1' ";
明白了吧!这就是SQL注入攻击,SQL注入攻击一般出现在程序开发构造一个where子句伴随用户输入的时候.当然我们可以通过过滤非法字符来解决这个问题,但显然这不是最有效的途径,我们将通过OleDbCommand.Parameters属性的参数传值实现,将非法字符过滤掉.

修改后的代码如下:

    protected void Button1_Click(object sender, EventArgs e)
    {
            //定义连接字符串
            string myString = "Provider=Microsoft.Jet.OleDb.4.0;Data Source=" + Server.MapPath("App_Data/mydata.mdb");
            OleDbConnection conn = new OleDbConnection(myString);
            conn.Open();
            OleDbCommand cmd = new OleDbCommand("select * from admin_table where acc_name=? and acc_PassWord=?",conn);
            OleDbParameter paraName = new OleDbParameter("?", OleDbType.VarChar, 10);
            paraName.Value = this.tbxName.Text;
            cmd.Parameters.Add(paraName);
            OleDbParameter paraPassWord = new OleDbParameter("?", OleDbType.VarChar, 10);
            paraPassWord.Value = this.tbxPassWord.Text;
            cmd.Parameters.Add(paraPassWord);            int result = Convert.ToInt32(cmd.ExecuteScalar());
            if (result > 0)
            {
                Response.Write("<script>alert('登陆成功');</script>");
            }
            else
            {
                Response.Write("<script>alert('登陆失败');</script>");
            }

}
}

下面这部分代码最关键:

OleDbParameter paraName = new OleDbParameter("?", OleDbType.VarChar, 10);
paraName.Value = this.tbxName.Text;
cmd.Parameters.Add(paraName);
OleDbParameter paraPassWord = new OleDbParameter("?", OleDbType.VarChar, 10);
paraPassWord.Value = this.tbxPassWord.Text;
cmd.Parameters.Add(paraPassWord);
需要注意的是这里的"?"如果是SQL的数据库是不一样的,这里并不讨论.

这次我们再次输入下面:

结果:

总结:利用参数化使用存储过程是我们必须掌握的知识,对于提高网站的安全性有很大帮助.希望更多朋友可以和我一起探讨.

本文来自CSDN博客，转载请标明出处：http://blog.csdn.net/zky0901/archive/2008/05/04/2387021.aspx