软件开发实用教程第2版教学课件ppt作者华驰35用户管理模块课件.ppt

相关知识 （4）防止SQL注入式攻击 大多数重要的数据库编程，无论多么简单，都需要使用参数来配置SQL语句。使用参数有助于防止可能的SQL注入式攻击。 任务实施 本节将以“中国无锡质量网”为例介绍用户登录模块和增加用户模块的实现方法：用户登录模块的实现，主要实现对用户名、密码和验证码的判断，同时还要实现系统安全性等问题。增加用户模块功能的实现，要通过下拉列表控件将供用户选择的信息显示处理，如所属区域、用户权限等。 1．用户登陆模块功能实现 （1）数据库连接，验证用户名和密码 用户登录是应用程序的主入口，用户只有通过该入口才能进入系统。登录过程是数据库连接，用户名和密码验证的过程，用户登录由login.aspx页面实现，如图3-35所示，它的代码隐藏文件是login.aspx.cs。 图3-33 正式考生登录页面 任务实施 在该界面内，定义输入用户名的文本框ID为TextBoxUserName，输入密码的文本框ID为TextBoxPwd，【进入】按钮的ID为ImageButton1，假设“验证码”输入正确，那么单击【进入】按钮可以登录系统，登录界面login.aspx的主要HTML代码如下： 任务实施 关于用户登录界面有一点需要说明：用户登录界面使用两个非空验证控件，他们的名称分别是RFieldValidator1和RFieldValidator2，其作用分别是对用户名和密码进行非空验证。 用户单击【进入】按钮，触发ImageButton1_Click（）事件，事件主要代码如下： 任务实施 当ImageButton1_Click（）事件被触发时，程序运行调用类gloabl_OperateDB中的函数FindExistValue（）判断用户名输入是否正确，其主要代码如下： 任务实施 在用户名判断过程中，程序调用类glob的函数getConnString()连接数据库，主要代码如下： 【提示】：在创建数据库连接字符串时，笔者把连接字符串存放在配置文件 Web.config中的AppSettings配置节中，连接数据库的主要代码如下: 任务实施 用户名判断正确，程序继续运行，调用类gloabl_OperateDB中的函数FindExistValue2（）判断与用户名对应的密码是否正确，判断的过程类似用户名的判断，此处笔者不再赘述。 由此可见，要访问或操作后台数据库中的数据，必须先连接到数据库，这个操作必须通过Connection对象来完成，其操作过程是： ①创建Connection对象； ②打开数据库连接； ③访问或操作后台数据库中的数据 ④数据处理完后，关闭数据库连接。 任务实施 （2）验证码技术的实现 “中国无锡质量网”后台登录系统中运用了验证码技术，用户登录后台管理系统除了要输入用户名和密码，还要输入一种随机生成的验证码文本。输入验证码的文本框ID为txtcheckCode，程序运行时，调用ReadTempImg.aspx页面中的Page_Load（）方法生成并在页面上显示验证码图片。其主要代码如下: 在少数情况下，程序生成的验证码图片难以辨认，则需要重新提供新的验证码图片，此时我们在登录页面中可以双击这个图片来更新验证码图片。显示验证码图片的HTML代码片断如下： 任务实施 可以看到?onlclick?事件处理中更新了图片来源，用户双击图片后，浏览器重新调用ReadTempImg.aspx页面，于是服务器端的验证码文本用了新的，而图片内容也随之更新。 由于每次尝试登录或更换验证码图片时，正确的验证码都是随机的发生改变，毫无规律，这样就很大的增强了登录页面的安全性。但这样做会让用户登录时需要辨认和输入验证码，这会降低应用程序的可用性。因此是否使用验证码技术是需要多方面权衡的。 任务实施 （3）密码加密技术实现 在ADO.NET中自带有MD5加密的类，在名称空间System.Web.Security中包含了类FormsAuthentication，其中有一个方法HashPasswordForStoringInConfigFile。这个方法可以将用户提供的字符变成乱码，然后存储起来，甚至可以存储在cookies中。 HashPasswordForStoringInConfigFile方法使用起来很简单，它支持MD5加密算法。 “中国无锡质量网”中存放MD5加密方法的类是Encodings.cs，主要代码如下： 类已经设计好，接下来该如何在用户登录界面login.aspx中实现加密技术呢？方法如下: 任务实施 （3）密码加密技术实现 在ADO.NET中自带有MD5加密的类，在名称空间System.Web.Security中包含了