龙空技术网

SQL - 用户登陆验证(SQL参数注入攻击,参数化SQL语句) 167

源丁编程 851

前言:

现时你们对“vs连接数据库登录失败”可能比较关怀,姐妹们都需要分析一些“vs连接数据库登录失败”的相关内容。那么小编在网络上收集了一些有关“vs连接数据库登录失败””的相关文章,希望小伙伴们能喜欢,小伙伴们快快来学习一下吧!

创建用户表

用户表(UserT)字段:用户编号(UId)用户名(UName)密码(UPwd)错误次数(UErrorTimes)最后登陆时间(LastEroTime)

--创建用户表--User 是数据库中的全局变量名,因此不能使用(本版本)CREATE TABLE UserT( UId INT IDENTITY(1,1)PRIMARY KEY, UName VARCHAR(16), UPwd VARCHAR(48) DEFAULT(123), UErrorTimes INT DEFAULT(0), LastEroTime DATETIME )--插入数据INSERT INTO UserT(UName,LastEroTime) SELECT '张三','2023-9-1' UNIONSELECT '李四','2023-9-1'UNIONSELECT '王五','2023-9-1' --查询数据SELECT * FROM UserT

为用户名设置唯一约束,防止用户名重名,登陆中需要通过用户名与密码进行验证

创建示例表-UserT

用户登陆

用户登陆是否成功的SQL语句是通过用户名/密码/聚合函数count(*)进行验证,可使用执行对象的ExecuteScalar()方法,如果返回值大于0(其实是等于1),表示登陆成功,反之登陆失败

--在数据库的查询窗口中编写验证语句--查询数据SELECT * FROM UserT--验证登陆的SQL语句SELECT COUNT(*) FROM UserT WHERE UName='张三'and UPwd='123'--符合C#规则的SQL语句SELECT COUNT(*) FROM UserT WHERE UName='{0}'and UPwd='{1}'

验证登陆语句

//登陆按钮的单击事件private void btnLogin_Click(object sender, EventArgs e){    //检测两个文本框不为能空(自己编写)检测通过才能执行下面的代码    //连接字符串(导出导入共用)    string constr = "Data Source=.;Initial Catalog=School;Integrated Security=True";    using (SqlConnection con = new SqlConnection(constr))    {        //验证的SQL语句        string sql = string.Format("SELECT COUNT(*) FROM UserT WHERE UName='{0}'and UPwd='{1}'", txtName.Text.Trim(), txtPwd.Text);        using (SqlCommand cmd = new SqlCommand(sql, con))        {            if (con.State == ConnectionState.Closed)            {                con.Open();            }            int r = Convert.ToInt32(cmd.ExecuteScalar());            if (r > 0)            {                MessageBox.Show("登陆成功");            }            else            {                MessageBox.Show("登陆失败");            }        }    }}

登陆成功

SQL 参数注入攻击

SQL注入是一种漏洞,它允许恶意用户以意想不到的方式访问数据库,最终达到欺骗服务器执行恶意的SQL命令,本示例的SQL攻击基于上面用户登陆验证拼接的SQL语句,它攻击数据库的方式是参数注入攻击

防止SQL注入攻击的措施:

1) 对用户输入的内容进行校验 2) 少使用动态拼接 SQL 语句 3) 过滤关键字,如:单引号 4) 参数化的SQL语句

SQL注入攻击演示

上图所示:密码明显错误还能登陆成功的原因在于其拼接后的SQL语句,在接收参数时被进行了注入攻击

通过设置断点,通过VS调试,查看要执行的SQL语句

VS调试,查看生产的sql语句

最终执行SQL语句的结果

第一个输入的参数: 张三' or 1=1 --第二个输入的参数:mnbnmnk--查看验证登陆最终的语句SELECT COUNT(*) FROM UserT WHERE UName='张三' or 1=1--'and UPwd='mnbnmnk'--密码不对还能登陆成功的原因在于第一个参数:UName='张三' or 1=1-- :表示不论UName是否正确,1=1正确第一个条件成立--两个横岗将后面的条件注释掉了--'and UPwd='mnbnmnk' 因此不管UPwd等于什么都可以因此最终执行的SQL变为WHERE UName='张三' or 1=1,执行结构就是3条数据      

只要保证最后输入一个单引号+ or 条件为真的语句+ --(两个横岗,用于注释掉后面要拼接的用户密码的内容)

参数化SQL语句

上面通过字符串拼接的SQL参数语句很容易被注入攻击,为防止被恶意的参数注入攻击的方法:就是不使用字符串的SQL语句拼接而是通过参数化对SQL语句进行赋值,C#中参数化SQL语句参数使用@进行标记(相当于数据库中的变量)使用SqlParameter类的方法进行赋值

//登陆按钮的单击事件中代码string constr = "Data Source=.;Initial Catalog=School;Integrated Security=True";using (SqlConnection con = new SqlConnection(constr)){    //编写参数化的SQL语句    //以@开头,参数名可以与列名相同,但是两个参数不能相同    string sql = "SELECT COUNT(*) FROM UserT WHERE UName=@uname and UPwd=@pwd";    //通过VS调试得到的SQL语句    //SELECT COUNT(*) FROM UserT WHERE UName=@uname and UPwd=@pwd       //为两个参数进行赋值(赋值的方式之一)    //声明一个SqlParameter类型的数组    //通过集合初始化器赋值    SqlParameter[] pms ={                            //这里的参数名必须与SQL语句中的相同,否则报异常                            new SqlParameter("@uname",txtName.Text.Trim()),                            new SqlParameter("@pwd",txtPwd.Text)                        };  //分号不能省略    using (SqlCommand cmd = new SqlCommand(sql, con))    {        if (con.State == ConnectionState.Closed)        {            con.Open();        }        //执行前将参数传入cmd中        cmd.Parameters.AddRange(pms);        int r = Convert.ToInt32(cmd.ExecuteScalar());        if (r > 0)        {            MessageBox.Show("登陆成功");        }        else        {            MessageBox.Show("登陆失败");        }    }}

使用参数化的SQL验证语句,登陆失败

SQL语句中列名必须与数据库表中列名相同(不区分大小写),对列名赋值的参数名自己随便起(也可以与列名一样),但是为参数赋值时,说过参数化SQL语句,以后SQL语句都会使用这种语句防止参数注入攻击

注意:参数名必须与SQL语句中对应的参数名一致,两个参数名不能相同,

可通过数据库的菜单"工具"一>"SQLServer ProFiler"命令,在打开的窗口,通过其事件探查器查看最终执行的SQL语句,参数化的SQL语句在SQLServer内部就不再是简单的字符串替换而是用添加的值进行数据比较(开启探查器后会监视用户在数据库中操作的记录信息)

--最终要执行的参数化SQL语句exec sp_executesql N'SELECT COUNT(*) FROM UserT WHERE UName=@uname and UPwd=@pwd',N'@uname nvarchar(13),@pwd nvarchar(3)',@uname=N'zs'' or 1=1 --',@pwd=N'123'--将整个SQL语句放置在存储过程中--两个参数相当于两个变量(之后再说)--上面的SQL语句含义相当于下面SQL语句DECLARE @name VARCHAR(10)DECLARE @pwd VARCHAR(10)--错误赋值SELECT @name=N'zs'' or 1=1 --',@pwd=N'123'SELECT COUNT(*) AS '错误赋值' FROM dbo.UserTWHERE UName=@name AND UPwd=@pwd--正确赋值SELECT @name=N'张三',@pwd=N'123'SELECT COUNT(*) AS '正确赋值' FROM dbo.UserTWHERE UName=@name AND UPwd=@pwd

参数化SQL语句查询结果

标签: #vs连接数据库登录失败