修改密码后无法识别散列密码。
我已经在registration.aspx上追踪了我的密码。在我的业务层中有以下代码:
public static string CreateSHAHash(string Phrase)
{
SHA512Managed HashTool = new SHA512Managed();
Byte[] PhraseAsByte = System.Text.Encoding.UTF8.GetBytes(string.Concat(Phrase));
Byte[] EncryptedBytes = HashTool.ComputeHash(PhraseAsByte);
HashTool.Clear();
return Convert.ToBase64String(EncryptedBytes);
}注册页面中的代码:
scm.Parameters.AddWithValue("@Password", BusinessLayer.ShoppingCart.CreateSHAHash(txtPW.Text));有了上面的代码,密码就在DB中进行了散列,当我登录到以下代码时,密码运行良好:
protected void btn_Login_Click(object sender, EventArgs e)
{
SqlConnection conn = new SqlConnection(ConfigurationManager.ConnectionStrings["RegistrationConnectionString"].ConnectionString);
conn.Open();
string checkuser = "select count(*) from UserData where Username = '" + txtUser.Text + "'";
SqlCommand scm = new SqlCommand(checkuser, conn);
int temp = Convert.ToInt32(scm.ExecuteScalar().ToString());
conn.Close();
if (temp == 1)
{
conn.Open();
string checkPassword = "select Password from UserData where Username ='" + txtUser.Text + "'";
SqlCommand passCom = new SqlCommand(checkPassword, conn);
string password = passCom.ExecuteScalar().ToString();
if (password == BusinessLayer.ShoppingCart.CreateSHAHash(txtPassword.Text))
{
Session["New"] = txtUser.Text;
Response.Write("<script>alert('Logged In')</script>");
Response.Redirect("OrderNow.aspx");
}
else
{
lblcrederror.Text = ("Credentials dont match");
}
}
else
{
lblcrederror.Text = ("Credentials dont match");
}但是,当我更改它时,在我的changepassword.aspx中包含这段代码时,它不会让我使用我的新密码。
protected void btn_update_Click(object sender, EventArgs e)
{
SqlConnection con = new SqlConnection(conn);
con.Open();
str = "select * from UserData ";
com = new SqlCommand(str, con);
SqlDataReader reader = com.ExecuteReader();
while (reader.Read())
{
if (BusinessLayer.ShoppingCart.CreateSHAHash(txt_cpassword.Text) == reader["Password"].ToString())
{
up = 1;
}
}
reader.Close();
con.Close();
if (up == 1)
{
con.Open();
str = "update UserData set Password=@Password where UserName='" + Session["New"].ToString() + "'";
com = new SqlCommand(str, con);
com.Parameters.Add(new SqlParameter("@Password", SqlDbType.VarChar, 50));
com.Parameters["@Password"].Value = BusinessLayer.ShoppingCart.CreateSHAHash(txt_npassword.Text);
com.ExecuteNonQuery();
con.Close();
lbl_msg.Text = "Password changed Successfully";
}
else
{
lbl_msg.Text = "Please enter correct Current password";
}
}我在这里错过了什么?
回答 1
Stack Overflow用户
发布于 2015-07-13 08:39:14
检查50是否截断散列。
com.Parameters.Add(new SqlParameter("@Password", SqlDbType.VarChar, 50));在sidenote中,我看到您的解决方案对SQL注入非常开放。
"select Password from UserData where Username ='" + txtUser.Text + "'";用户可以在textbox中编写sql语句,并劫持数据库、创建自己的表或删除整个数据库。您应该始终将查询参数化。我看到您对Update语句做了这样的操作,但是您应该考虑对所有变量都这样做。
这很快就会创建大量代码,所以我还会考虑制作一个SQL包装器,它封装在您重复的所有内容中。当您完成重构时,它可能如下所示:
var sql = new SqlWrapper("select Password from UserData where Username = @username", txtUser.Text);
var dataSet = sql.Execute();然后,您可以隐藏所有连接字符串,commands++在这个包装后面,并且只告诉包装器您真正关心的是什么。
您还应该考虑使用salt作为密码。如果你和我有相同的密码,哈希将是相同的。盐能解决这个问题。
一篇关于密码安全的好文章-> https://crackstation.net/hashing-security.htm
https://stackoverflow.com/questions/31378036
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号