1

我在 c# 中做 webmethod。在调试时,

(chk.Equals(oldpass))

查询在左侧和右侧显示相同的值。

但是,执行转移到显示返回语句的 else 部分,而不是进入 if 内部。跟随。是我的代码。

[WebMethod (Description="for change in password")]
public string update(string authenid,string oldpass,string newpass)
{
     SqlConnection conn = new SqlConnection("Data Source=.\\SQLEXPRESS;AttachDbFilename=D:\\Workspace\\visual studio workspace\\Tmrepo\\App_Data\\tmrepo.mdf;Integrated Security=True;User Instance=True");

    try
    {
        conn.Open();

  string chk = "select pwd from client where authenid = '"+ @authenid +"' ";
        if(chk.Equals(oldpass))
        {
            string update = "update client set pwd=@newpass where pwd=@oldpass and authenid=@authenid";
            SqlCommand cmd = new SqlCommand(update, conn);
            cmd.Connection = conn;
            cmd.Parameters.AddWithValue("@authenid", authenid);
            cmd.Parameters.AddWithValue("@oldpass", oldpass);
            cmd.Parameters.AddWithValue("@newpass", newpass);
            cmd.ExecuteNonQuery();

        }

        else
        {
            return "invalid oldpass";
        }
 conn.Close();
        return newpass;
    }
    catch (Exception ex)
    {
        return ex.ToString();
    }

}

这段代码有什么问题吗?我是ac#新手。谢谢。

4

3 回答 3

5

您还没有执行命令:您的旧密码 chk 是:"select pwd from client where authenid = '"+ @authenid +"' ";,这是一个不太可能的密码。例如,查看 ExecuteScalar。

额外的想法:

  • 参数化 sql - 不要连接 id;它应该是"select pwd from client where authenid = @authenid";您添加一个名为的参数的位置,该参数authenid的值来自authenid. 您在第二个 ADO.NET 查询中得到了正确的结果。
  • 密码应加盐和散列:不直接存储;您永远无法提取和/或解密密码

(外部编辑)

更新:执行代码,"select pwd from client where authenid = '"+ @authenid +"' ";因为"select pwd from client where authenid = '@authenid' ";返回空值。

update2cmd.ExecuteScalar();让它工作。并删除cmd.ExecuteNonQuery();

于 2013-02-15T07:34:40.037 回答
4

您的代码所做的是与select pwd from client where authenid = some_valueoldpass 的值进行比较,这将是错误的!

固定代码逻辑:

        string oldpass = "somehing";

        string authenid = "pass_to_test";
        string sql = string.Format("select pwd from client where authenid = '{0}' ", authenid);
        string chk = null;
        SqlCommand cmd = new SqlCommand(update, conn);

        var reader = cmd.ExecuteReader();
        if (reader.Read())
        {
            // has record with username
            chk = reader.GetString(0);
            if (chk.Equals(oldpass))
            {
                string update = "update client set pwd=@newpass where pwd=@oldpass and authenid=@authenid";

                cmd.CommandText = update;
                cmd.Connection = conn;
                cmd.Parameters.AddWithValue("@authenid", authenid);
                cmd.Parameters.AddWithValue("@oldpass", oldpass);
                cmd.Parameters.AddWithValue("@newpass", newpass);
                cmd.ExecuteNonQuery();

            }

            else
            {
                return "invalid oldpass";
            }

        }
        else
        {
            // not a valid username
        }
        reader.Close();
        reader.Dispose();
于 2013-02-15T07:31:46.230 回答
1

终于,解决了!!!我使用了数据集。具有完全正确代码的第二种方法是:

string chk = "select pwd from client where authenid = @authenid";
        SqlCommand cmd1 = new SqlCommand(chk , conn);
        cmd1.Parameters.AddWithValue("@authenid", authenid);
        DataSet ds = new DataSet();
        SqlDataAdapter da = new SqlDataAdapter(cmd1);
        da.Fill(ds);
        int cnt = ds.Tables[0].Rows.Count;
        if (cnt > 0)
        {
            if (ds.Tables[0].Rows[0]["pwd"].ToString().Equals(oldpass))
            {
                string update = "update client set pwd=@newpass where pwd=@oldpass and authenid=@authenid";
                SqlCommand cmd = new SqlCommand(update, conn);
                cmd.Connection = conn;
                cmd.Parameters.AddWithValue("@authenid", authenid);
                cmd.Parameters.AddWithValue("@oldpass", oldpass);
                cmd.Parameters.AddWithValue("@newpass", newpass);
                cmd.ExecuteNonQuery();
            }            
        }

希望它可以帮助像我这样的其他新手!

于 2013-02-15T09:03:09.010 回答