[英]Environment.UserName returning application pool name instead of username
[英]Can I use Environment.Username and MYSQL to verify log in?
private void btnSubmitt_Click(object sender, RoutedEventArgs e)
{
try
{
i = 0;
MySqlCommand cmd = con.CreateCommand();
cmd.CommandType = CommandType.Text;
cmd.CommandText = "Select * from users where TX_EMPLOYEE='"; (Environment.UserName) & "'";
DataTable dt = new DataTable();
MySqlDataAdapter da = new MySqlDataAdapter(cmd);
da.Fill(dt);
i = Convert.ToInt32(dt.Rows.Count.ToString());
}
catch
{
MessageBox.Show("Database connection is not available at this time. Please contact your database administrator ");
}
finally
{
con.Close();
}
我想使用他们的计算机登录名和 MYSQL 数据表中列出的完全匹配来验证用户。 但是 Environment.Username 不是此 SQL 语句中的有效语法。
这一行是非常非常错误的:
cmd.CommandText = "Select * from users where TX_EMPLOYEE='"; (Environment.UserName) & "'";
应该是这样的:
cmd.CommandText = "Select * from users where TX_EMPLOYEE='" + Environment.UserName + "'";
除了,它不应该是那样的,因为 SQL 注入。 如果我可以将Environment.UserName
设为' or 1 = 1 or TX_EMPLOYEE = '
那么你的最终查询将变成这样:
Select * from users where TX_EMPLOYEE='' or 1 = 1 or TX_EMPLOYEE = ''
这显然不是您想要的 - 没有凭据的人可以访问它。 您应该改用 SQL 参数:
cmd.CommandText = "Select * from users where TX_EMPLOYEE=?userName";
cmd.Parameters.AddWithValue("?userName", Environment.UserName);
另外,我对这段代码感到困惑:
i = Convert.ToInt32(dt.Rows.Count.ToString());
DataTable.Rows.Count已经是一个int
,因此您要将数字转换为字符串再转换为数字。 为什么?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.