关于安全性,这是一个肮脏的原型,因此密码没有散列盐。
我正在测试一些c#MySQL代码,当正确的凭证发送到数据库时,程序返回值1,这意味着正确。
但是,如果检查的值与结果不匹配,则会出现异常:
Server.exe中出现“System.FormatException”类型的未处理异常
其他信息:输入字符串的格式不正确。
public int CheckLoginCredentials(String username,string password)
{
string query = "SELECT * from testTable.user WHERE username='" + username + "' and password='" + password + "'";
int Count = -1;
//Open Connection
if (this.OpenConnection() == true)
{
//Create Mysql Command
MySqlCommand cmd = new MySqlCommand(query, connection);
//ExecuteScalar will return one value
try
{
Count = int.Parse(cmd.ExecuteScalar() + "");
}
catch (Exception e)
{
throw e;
}
//close Connection
this.CloseConnection();
return Count;
}
else
{
return Count;
}
}
我试图抛出异常,但它使服务器崩溃。我怎样才能优雅地解决这个问题?
最佳答案
在这种情况下,您必须使用SELECT Count(*);ExecuteScalar将执行查询并返回第一列
查询返回的结果集中第一行的。附加
列或行被忽略。
还有一个更常见的建议;使用参数化查询来避免SqlInjection;因此命令定义如下:
string query = "SELECT COUNT(*) from testTable.user WHERE username=@username and password=@password";
MySqlCommand cmd = new MySqlCommand(query, connection);
cmd.Parameters.AddWithValue("@username", username);
cmd.Parameters.AddWithValue("@password", password);
现在命令可以执行了。正如MSDN所建议的,
ExecuteScalar()将返回一个需要转换为整数的object,但在这种情况下,count()将始终返回一个整数值(如果结果为空,0),因此cmd.ExecuteScalar()的输出将是一个boxed integer。因此查询执行如下: int Count = Convert.ToInt32(cmd.ExecuteScalar());