智能AI导航网 智能AI导航网
热门
立即入驻

一个简单的后台与数据库交互的登录与注册[sql注入处理、以及MD5加密](登陆页面sql注入)墙裂推荐

随心笔谈12个月前发布 admin
80 0


using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Data;
using System.Data.SqlClient;

namespace baidu20160707
{
/// <summary>
/// Handler1 的摘要说明
/// </summary>
public class Handler1 : IHttpHandler
{
public HttpContext context;
public string strResult=””;
public void ProcessRequest(HttpContext context)
{
this.context=context;
string cmd=context.Request.Form[“cmd”];
switch (cmd)
{
case “login”:
strResult=loginAjax();
break;
case “reg”:
strResult=RegAjax();
break;
}
context.Response.Write(strResult);
}

//登录
public string loginAjax()
{
//1.接收传过来的用户名和密码
string username=context.Request.Form[“username”];
//类名调用方法,32位,再做加盐处理
string pwd=Md5Class.GetMD5( context.Request.Form[“pwd”]+”傻逼玩意”,32);
//所在对应的id是否存在
//string strsql=string.Format(“select id from Users where UserName='{0}’ and Pwd='{1}'”, username, pwd);
//sql注入处理1.@传参的方式,, username, pwd不要,’分号也不要’
string strsql=string.Format(“select id from Users where UserName=@UserName and Pwd=@Pwd”);
//sql注入处理2.调用SqlParameter[]数组对数据进行过滤
SqlParameter[] paras=new SqlParameter[]
{
new SqlParameter(“@UserName”,SqlDbType.NVarChar),
new SqlParameter(“@Pwd”,SqlDbType.NVarChar)
};
//sql注入处理3.指定它的值
paras[0].Value=username;
paras[1].Value=pwd;
//sql注入处理,4.不能忘记把数组对象传进去
if (SqlHelper.Exists(strsql,paras))
{
//context.Response.Write(“登录成功”);
return “登录成功”;
}
else
{
//context.Response.Write(“用户名或密码不正确”);
return “用户名或密码不正确”;
}
}

//注册
public string RegAjax()
{
//接收传过来的用户名和密码
string username=context.Request.Form[“username”];
string pwd=Md5Class.GetMD5(context.Request.Form[“pwd”]+”傻逼玩意”,32);
string qq=context.Request.Form[“qq”];
string email=context.Request.Form[“email”];
//string strsql1=string.Format(“select id from Users where UserName='{0}’ “,username,pwd);
string strsql1=string.Format(“select id from Users where UserName=@UserName “);
SqlParameter[] paras1=new SqlParameter[]
{
new SqlParameter(“@UserName”,SqlDbType.NVarChar)
};
paras1[0].Value=username;
if (SqlHelper.Exists(strsql1, paras1))
//if (SqlHelper.Exists(strsql1))
{
return “该用户已注册,请重新输入”;
}
else
{
//不存在就注册
//string strsql2=string.Format(“insert into Users (UserName,Pwd,QQ,eMail) values(‘{0}’,'{1}’,'{2}’,'{3}’)”, username, pwd, qq, email);
//, username, pwd, qq, email
string strsql2=string.Format(“insert into Users (UserName,Pwd,QQ,eMail) values(@UserName,@Pwd,@QQ,@eMail)”);
SqlParameter[] paras2=new SqlParameter[]
{
new SqlParameter(“@UserName”,SqlDbType.NVarChar),
new SqlParameter(“@Pwd”,SqlDbType.NVarChar),
new SqlParameter(“@QQ”,SqlDbType.NVarChar),
new SqlParameter(“@eMail”,SqlDbType.NVarChar),
};
paras2[0].Value=username;
paras2[1].Value=pwd;
paras2[2].Value=qq;
paras2[3].Value=email;
//插入处理
if (SqlHelper.ExecteNonQueryText(strsql2, paras2) > 0)
{
return “注册成功”;
}
else
{
return “注册失败”;
}
}
}
public bool IsReusable
{
get
{
return false;
}
}
}
}

© 版权声明
文章版权归作者所有,未经允许请勿转载。

相关文章

Lua教程(二十二):userdata(lua function(…))万万没想到
admin
87 0
Mac中MariaDB数据库的安装步骤(mac安装mysql的两种方法(含配置))难以置信
admin
93 0
Ueditor百度编辑器的Html模式自动替换样式的解决方法(让百度编辑器弹出层显示在最前面)不看后悔
admin
77 0
八种很漂亮的排版方法和技巧分享(排版是怎么排)学会了吗
admin
79 0
windows下bat批处理执行Mysql的sql语句(bat 执行命令)不要告诉别人
admin
71 0
Golang?WaitGroup?底层原理及源码解析(golang await)原创
admin
95 0
添加小工具
点此为“正文侧边栏”添加小工具
一个神奇的网站导航工具站-提供最权威高质量的在线网站导引服务-让您第一时间到达所需要的网站地址

友链申请 免责声明 广告合作 关于我们

关注我们智能AI导航网

关注我们
Copyright © 2024 智能AI导航网