看了些C#编程和MS SQL SERVER的书,学了些相关知识,就开始上手接了个项目,首期编写了一个登录程序,某按钮调用 UserLogon 单击事件,查询用户表中与输入的用户名密码是否一致,成功则登录,失败则提示,代码如下:
void UserLogon(Object sender,EventArgs e)
{
try
{
string _sql="select * from users where uid="+x_uid.Text+" and password="+x_pwd.Text;
SqlConnection Conn = new SqlConnection(ConfigurationSettings.AppSettings["J"]);
SqlCommand comm=new SqlCommand(_sql,myConnection);
myConnection.Open();
SqlDataReader myDr;
myDr = comm.ExecuteReader();
if(myDr.Read()){
myDr.Close();
Session[“username”]=myDr[“u”].ToString();
Response.Write("登录成功!");
Response.Redirect("/main.aspx");
}
else{
Response.Write("非法登录!");
}
}
catch(Exception ex){
Response.Write(ex.Message);
}
finally{
myConnection.Close();
}
}
首先提示了数据源已关闭的提示(问题出现在了粗心大意):
if(myDr.Read()){
myDr.Close();
Session[“username”]=myDr[“u”].ToString();
Response.Write("登录成功!");
}
更改后,感觉大吉。过两天,甲方的技术人员电话过来,你们可以尝试任意密码登录。那时只感觉书上写的范例肯定是正确的标准的,岂不知那只是范例,不要教条。该段代码引发了很多风险和问题:
(1)严重风险:由字符串拼接SQL语句,输入某些语句,任意条件即可登录,并引发SQL注入的巨大风险。
(2)性能问题:全程 try 语句,动辄 select * from ...,就是因为懒,则以牺牲性能为代价。
(3)无法执行的语句:登录成功后的提示语不会进行显示。
(4)不友好的提示信息,看似简单,但用户体验度非常的差。
所以,应用设计即是一门技术,也是一门艺术,虽然BUG是我们心中永远的痛,但编写健壮、友好、稳定、高性能的应用也是我们永远不变的追求!
