如何防止密码框的密码被人破译

    在此给大家敲一个警钟，看看你的系统有没有类似的问题，不瞒各位，我以前的系统就存在该问题（冒汗，数据库的连接暴露无疑）。
    在 Delphi 6 以前的版本，只要简单的给文本框发送 WM_GETTEXT 消息，就可以获得文本框的内容。
代码如下：

// 显示鼠标当前所在的文本框内容
function ShowWindowText():string;
var
    pPoint:TPoint;
    WinText:string;
    mText:PChar;
    hWnd:Integer;
begin
    GetCursorPos(pPoint);
    SetLength(WinText,256);
    hWnd:=WindowFromPoint(pPoint);
    GetWindowText(hWND,PChar(WinText),256);
    SetLength(WinText,StrLen(PChar(WinText)));
    result:=WinText;
end;
用上面的这个方法就可以查看 Foxmail 的密码，不信的话你可以自己试试（Foxmai 开发组要注意了~-^）

    可能 Borland 也发现了这个问题，到了 Delphi 6，用该方法只能查看到文本框的 Name 属性了，不过话虽如此，还是瞒不过“iOpus Password Recovery XP”，那么我们是不是就没有办法了呢？回答是否定的，这回大家就看看我的办法吧！

    既然要获得文本框的内容，无非是采用发送消息的方式，如果我们把消息屏蔽掉，它是不是就没有办法了呢？对，既然问题已经找到，我们就开始吧，先从 TEdit 派生一个 TCEdit ，重载它的消息事件，将外来的消息屏蔽掉，这时候就有人有异议了：“你把消息屏蔽，那么是不是程序本身和 Delphi 也不知道它的内容了”，这个问题问得好，对于这个问题，我们可以再重载它的 GetText 方法，但是从我的代码中各位并没有看到我将该方法重载，我的考虑是因为，GetText 方法会首先成为一些破解程序的攻击目标，故此没有使用，而是新增了一个方法，以后就可以用这个方法去访问文本框的值了，因为文本框只认识这个方法，这样一来，就是“iOpus Password Recovery XP”也没有办法了:)，下面列出源代码，请各位指教。

unit uCEdit;

interface

uses Windows,StdCtrls,Messages,Classes;

TYPE
    TCEdit=class(TEdit)
    private
        bEnable:boolean;            // 允许使用
        procedure WndProc(var Msg: TMessage);override;
    public
        constructor Create(AOwner: TComponent); override;

        function MyGetText():string;
    published

    end;

procedure Register;

implementation

{ CEdit }

//注册控件
procedure Register;
begin
    RegisterComponents('Additional', [TCEdit]);
end;

constructor TCEdit.Create(AOwner: TComponent);
begin
    inherited Create(AOwner);
    // 禁止使用
    bEnable:=false;
end;

function TCEdit.MyGetText: string;
begin
    // 程序本身还是用允许的
    bEnable:=true;
   
    result:=Text;
end;

procedure TCEdit.WndProc(var Msg: TMessage);
begin
    if (Msg.Msg=WM_GETTEXT) or (Msg.Msg=EM_GETLINE)  then
    begin
        if bEnable then
        begin
            bEnable:=false;
            inherited;
        end;
    end
    else inherited;
end;

end.

基本上我们大家所看到的大部分需要输入口令的软件，如：QQ、Foxmail、CuteFTP和DameWare Mini Remote Control 等都没有进行保护。

梅文海(TQuery@163.com)
2003.4.7
作者相关作品：
　　　　　　　◢█████◤
　　　　　　◢◤　　　◢◤
◣　　　　◢◤　凌　◢◤
█◣　　◢◤　　　◢◤
█◥◣◢◤　丽　◢◤
█　◥◤　　　◢◤
█　　　软　◢◤ http://wosens.com
█　　　　◢◤
█　件　◢◤　　◥█████
█　　◢◤　　　　◥◣　　█
███◤　　　　　　◥███

======== 小燕子娱乐系列 ========
《小燕子信使》
《小燕子字符画》
《小燕子方块》

======== 程序员工具箱系列 ========
《内存清洁机》
《酷查询:CoolQuery》
《口令王:PasswordKing》
《凌丽邮件群发》
《SQL 数据库生成器》
《网页搅拌机》
《WinRoute日志分析》
《日记随手写》

======== 无敌商务系列 ========
《无敌信使群发》
《无敌图像印章》