我有一个登录网页,还有一个SQL数据库。页面已与数据库连接。问题是数据库中的密码是小写的,但当我保持大写锁定时,我也可以登录。现在我想限制用户可以添加数字和字母的密码。当密码是小写字母并且用户使用大写锁定时,密码将不匹配。
这是我的表
CREATE TABLE [dbo].[Log_Users]
(
[Logid] [int] IDENTITY(100,1)PRIMARY KEY NOT NULL,
[Username] [varchar](55) NOT NULL,
[PASSWORD][varchar](55),
[Time_Logged_in] [datetime] NOT NULL,
[Time_Logged_Out] [datetime] NOT NULL,
[Status] [int] NOT NULL,
[Date_Logged_in] [datetime] NOT NULL,
[E_MAIL] [varchar](55) NOT NULL
)
insert into dbo.Log_Users
values('Saqib','pakistan',GETDATE(),'02/07/2010',1,GETDATE(),'saqib@wow.com')
insert into dbo.Log_Users
values('Afridi','Oops',GETDATE(),'02/09/2010',1,GETDATE(),'afridi@wowMail.com')
这个我的aspx代码
using System;
using System.Data;
using System.Data.SqlClient;
using System.Configuration;
using System.Linq;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.HtmlControls;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Xml.Linq;
using System.Data;
public partial class _Default : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
}
protected void btnSubmit_Click(object sender, EventArgs e)
{
SqlConnection con = new SqlConnection(ConfigurationManager.ConnectionStrings["dbconnection"].ConnectionString);
con.Open();
SqlCommand cmd = new SqlCommand("USerLogin", con);
cmd.CommandType = CommandType.StoredProcedure;
cmd.Parameters.AddWithValue("@Username", txtUserName.Text);
cmd.Parameters.AddWithValue("@UPassword", txtPWD.Text);
cmd.Parameters.Add("@OutRes", SqlDbType.Int).Direction = ParameterDirection.Output;
cmd.ExecuteNonQuery();
int output = (int)cmd.Parameters["@OutRes"].Value;
if (output == 1)
{
Response.Redirect("Details.aspx");
}
else
{
ClientScript.RegisterStartupScript(Page.GetType(), "validation", "<script language='javascript'>alert('Invalid Username Or Password')</script>");
}
SqlDataAdapter da = new SqlDataAdapter(cmd);
DataTable dt = new DataTable();
da.Fill(dt);
if (dt.Rows.Count > 0)
{
Response.Redirect("Details.aspx");
}
else
{
ClientScript.RegisterStartupScript(Page.GetType(), "validation", "<script language='javascript'>alert('Invalid Username Or Password')</script>");
}
}
}
并且存储的过程是
ALTER Proc USerLogin
(
@Username VarChar(50),
@UPassword varChar(50),
@OutRes int OUTPUT
)
AS
SET @OutRes = 0
IF EXISTS(SELECT top 1 * FROM Log_Users WHERE Username = @Username and PASSWORD = @UPassword)
BEGIN
SET @OutRes = 1
Return @outRes
END
ELSE
Return @outRes
GO
有人能帮我把代码放在哪里和什么地方吗?
根据服务器和数据库的SQL Server排序规则,SQL Server会进行不区分大小写的字符串比较。可以使用COLLATE关键字强制其使用区分大小写的比较。
SELECT 1 WHERE username = 'user' AND (password COLLATE Latin1_General_CS_AS) = (@password COLLATE Latin1_General_CS_AS)
何处
- CS=区分大小写
- AS=区分重音
参见:
- http://msdn.microsoft.com/en-us/library/ms179886.aspx
这就是存储过程的样子:
ALTER Proc UserLogin
(
@Username VarChar(50),
@UPassword varChar(50),
@OutRes int OUTPUT
)
AS
SET @OutRes = 0
IF EXISTS (SELECT 1 WHERE username = @Username AND (password COLLATE Latin1_General_CS_AS) = (@UPassword COLLATE Latin1_General_CS_AS))
BEGIN
SET @OutRes = 1
END
RETURN @OutRes
BTW:你有没有调查过ASP.NET会员资格提供商?这些为您提供了一个完整的实现来处理用户和组、密码和密码重置。
问题:您是否检查Details.aspx上的安全性?或者我可以浏览一下吗?从你的代码来看是这样的。请,请,请仔细查看ASP.NET Forms Authentication功能,这些功能具有框架内置的安全功能。