蠢且懒的代码

2024-06-20 13:03:54 浏览数 (3)

       看了些C#编程和MS SQL SERVER的书,学了些相关知识,就开始上手接了个项目,首期编写了一个登录程序,某按钮调用 UserLogon 单击事件,查询用户表中与输入的用户名密码是否一致,成功则登录,失败则提示,代码如下:

void UserLogon(Object sender,EventArgs e)

{

   try

   {

     string _sql="select * from users where uid=" x_uid.Text " and password=" x_pwd.Text;  

     SqlConnection Conn =   new SqlConnection(ConfigurationSettings.AppSettings["J"]);

     SqlCommand   comm=new SqlCommand(_sql,myConnection);  

     myConnection.Open();

      SqlDataReader myDr;

      myDr = comm.ExecuteReader();

      if(myDr.Read()){

        myDr.Close();

         Session[“username”]=myDr[“u”].ToString();

        Response.Write("登录成功!");

        Response.Redirect("/main.aspx");

      }

      else{

        Response.Write("非法登录!");

      }

  }

  catch(Exception ex){

        Response.Write(ex.Message);

  }

  finally{

      myConnection.Close();

  }

}

首先提示了数据源已关闭的提示(问题出现在了粗心大意):

if(myDr.Read()){

myDr.Close();

         Session[“username”]=myDr[“u”].ToString();

        Response.Write("登录成功!");

      }

更改后,感觉大吉。过两天,甲方的技术人员电话过来,你们可以尝试任意密码登录。那时只感觉书上写的范例肯定是正确的标准的,岂不知那只是范例,不要教条。该段代码引发了很多风险和问题:

    (1)严重风险:由字符串拼接SQL语句,输入某些语句,任意条件即可登录,并引发SQL注入的巨大风险。

    (2)性能问题:全程 try 语句,动辄 select * from ...,就是因为懒,则以牺牲性能为代价。

    (3)无法执行的语句:登录成功后的提示语不会进行显示。

    (4)不友好的提示信息,看似简单,但用户体验度非常的差。

所以,应用设计即是一门技术,也是一门艺术,虽然BUG是我们心中永远的痛,但编写健壮、友好、稳定、高性能的应用也是我们永远不变的追求!

0 人点赞