c# - SQL登录系统

Question

这是我第一次在 StackOverflow 上提问，所以如果我问了不恰当的人，我提前道歉。在过去的几天里，我在研究这个问题时找不到任何可以帮助我的东西，所以提前感谢任何试图提供帮助的人。

我正在制作一个允许人们注册和登录的数据库。我在 VS2012 中使用 C#。下面是我的登录代码，我在测试时遇到了一些麻烦。它遍历数据库中的每个人，并告诉我登录失败，直到它到达正确的用户。

    private void button1_Click_1(object sender, EventArgs e)
    {
        try
        {
            cn.Open();
        }
        catch (Exception)
        {
            MessageBox.Show("Did not connect");
        }


        SqlCommand cmd = new SqlCommand("SELECT * FROM [Users]", cn);
        cmd.Connection = cn;
        SqlDataReader reader = null;
        reader = cmd.ExecuteReader();
        while (reader.Read())
        {
            if (textBox1.Text == (reader["Username"].ToString()) && textBox2.Text == (reader["Password"].ToString()))
            {
                MessageBox.Show("Logged in");
            }
            else
            {
                MessageBox.Show("Login has failed. Please check your Username and Password.");
            }
        }
        cn.Close();
    }

至于我的注册部分，我不确定它是 VS2012 还是什么，但是在我结束调试后信息并没有保存到数据库中，然后再次返回调试。

    private void button1_Click_1(object sender, EventArgs e)
    {
        cn.Open();
        SqlCommand cm1 = new SqlCommand("INSERT INTO Users (Username, Password) VALUES (@Username, @Password)", cn);
        SqlCommand cm2 = new SqlCommand("INSERT INTO Contact(Name, Address, City, State, PostalCode, Email, PhoneNumber) VALUES(@Name, @Address, @City, @State, @PostalCode, @Email, @PhoneNumber)", cn);



        cm1.Parameters.AddWithValue("@Username", textBox1.Text);
        cm1.Parameters.AddWithValue("@Password", textBox2.Text);
        cm2.Parameters.AddWithValue("@Name", textBox3);
        cm2.Parameters.AddWithValue("@Address", textBox4);
        cm2.Parameters.AddWithValue("@City", textBox5);
        cm2.Parameters.AddWithValue("@State", textBox6);
        cm2.Parameters.AddWithValue("@PostalCode", textBox7);
        cm2.Parameters.AddWithValue("@Email", textBox8);
        cm2.Parameters.AddWithValue("@PhoneNumber", textBox9);

        try
        {
            int affectedRows =  cm1.ExecuteNonQuery(); //+cm2.ExecuteNonQuery();

            if (affectedRows > 0)
            {
                MessageBox.Show("Insert Sucsess!", Application.ProductName, MessageBoxButtons.OK, MessageBoxIcon.Information);
            }
            else
            {
                MessageBox.Show("Insert Failed!", Application.ProductName, MessageBoxButtons.OK, MessageBoxIcon.Error);
            }
        }
        catch (Exception ex)
        {
            MessageBox.Show(ex.Message, Application.ProductName, MessageBoxButtons.OK, MessageBoxIcon.Error);
        }
        cn.Close();
    }

Answer 1

当您的项目中有数据库文件并构建项目时，可以将数据库文件从根项目文件夹复制到输出（bin\debug 或 bin\release）文件夹。
此行为由Copy To Output Directory数据库文件的属性控制。

如果您将此属性设置为Copy Alwaysthen，则每次构建项目时，都会将数据库文件的新副本从根项目文件夹复制到输出目录，覆盖已经存在的目录并破坏您在上一个调试会话中所做的更改.

建议的解决方法是将此属性更改为Copy Never或Copy if Newer

在此页面上查看 MSDN 上的详细说明

对于您问题的第一部分，您可以避免在每个用户上循环，将 WHERE 子句添加到您的 sql 文本中。请注意，您永远不应该使用字符串连接来构建您的 sql 字符串，而是始终使用参数。（为什么？你避免了 Sql 注入和文本单引号解析/加倍）

string sqlText = "SELECT * FROM [Users] WHERE Username = @usr AND [Password] = @psw";
SqlCommand cmd = new SqlCommand(sqlText, cn);
cmd.Parameters.AddWithValue("@usr", textbox1.Text);
cmd.Parameters.AddWithValue("@psw", textbox2.Text);
SqlDataReader reader = cmd.ExecuteReader();
if(reader.HasRows)
    // You have found the user....

还有一点建议。不要将密码以明文形式存储在数据库中。始终存储此字符串的哈希值，并在搜索时计算哈希值并搜索它，而不是使用明文密码。

Answer 2

为了让你得到这个工作，你需要WHERE在你的SELECT. 但是，我不建议使用

SqlCommand cmd = new SqlCommand("SELECT * FROM [Users] WHERE Username='" + textBox1.Text + "'", cn);

因为可能的SQL 注入。

请了解如何使用存储过程以及如何从您的 C# 代码中执行它们。