我可以使用 Environment.Username 和 MYSQL 来验证登录吗？

Question

        private void btnSubmitt_Click(object sender, RoutedEventArgs e)
        {
        try
        {
            i = 0;
            MySqlCommand cmd = con.CreateCommand();
            cmd.CommandType = CommandType.Text;
            cmd.CommandText = "Select * from users where  TX_EMPLOYEE='"; (Environment.UserName) & "'";
            DataTable dt = new DataTable();
            MySqlDataAdapter da = new MySqlDataAdapter(cmd);
            da.Fill(dt);

            i = Convert.ToInt32(dt.Rows.Count.ToString());
        }
        catch
        {
            MessageBox.Show("Database connection is not available at this time. Please contact your database administrator ");
        }
        finally
        {
            con.Close();
        }

我想使用他们的计算机登录名和 MYSQL 数据表中列出的完全匹配来验证用户。 但是 Environment.Username 不是此 SQL 语句中的有效语法。

Answer 1

这一行是非常非常错误的：

cmd.CommandText = "Select * from users where  TX_EMPLOYEE='"; (Environment.UserName) & "'";

应该是这样的：

cmd.CommandText = "Select * from users where  TX_EMPLOYEE='" + Environment.UserName + "'";

除了，它不应该是那样的，因为 SQL 注入。 如果我可以将Environment.UserName设为' or 1 = 1 or TX_EMPLOYEE = '那么你的最终查询将变成这样：

Select * from users where  TX_EMPLOYEE='' or 1 = 1 or TX_EMPLOYEE = ''

这显然不是您想要的 - 没有凭据的人可以访问它。 您应该改用 SQL 参数：

cmd.CommandText = "Select * from users where  TX_EMPLOYEE=?userName";
cmd.Parameters.AddWithValue("?userName", Environment.UserName);

另外，我对这段代码感到困惑：

i = Convert.ToInt32(dt.Rows.Count.ToString());

DataTable.Rows.Count已经是一个int ，因此您要将数字转换为字符串再转换为数字。 为什么？