Question

В приложении ASP.NET я сохранил пароль к базе данных как «двоичные» данные, используя md5.

Как теперь сравнить пароли?

Я использовал код в этой статье для шифрования пароля с помощью md5

Код работает. Как я могу сравнить пароль, когда пользователи вводят свой пароль при входе в систему? Какой код проверить, совпадает ли пароль с зашифрованным паролем в базе данных.

Я использовал следующий код, но он всегда отображал «Неверное имя пользователя или пароль», даже если он правильный. «Код модификации»

Byte[] hashedBytes;
    string Password = txtPassword.Text;
    MD5CryptoServiceProvider md5Hasher = new MD5CryptoServiceProvider();
    UTF8Encoding encoder = new UTF8Encoding();

    hashedBytes = md5Hasher.ComputeHash(encoder.GetBytes(Password));
    Byte[] pass = new Byte[16];
    SqlConnection conn = new SqlConnection("Data Source=Shihab-PC;Initial Catalog=test;User ID=sh;password=admin");

    SqlCommand cmd = new SqlCommand("SELECT * FROM Users WHERE UserName=@UserName", conn);
    cmd.Parameters.AddWithValue("@UserName", txtUserName.Text);
    conn.Open();
    SqlDataReader rdr = cmd.ExecuteReader();
    if (rdr.Read())
        pass = (Byte[])rdr["password"];

    foreach (Byte b in pass)
    {
        Label1.Text += b.ToString() + " ";



        //Response.Write(b.ToString());

        string UserName = txtUserName.Text;
        bool isMatch = false;
        Byte[] password = new Byte[16];

        SqlConnection con = new SqlConnection("Data Source=Shihab-PC;Initial Catalog=test;User ID=sh;password=admin");
        con.Open();

        SqlCommand cmdd = new SqlCommand(string.Format("select * from Users where UserName='{0}'", UserName), con);
        cmd.CommandType = CommandType.Text;
        cmd.Parameters.AddWithValue("@UserName", txtUserName.Text);
        SqlDataReader dr = cmdd.ExecuteReader();
        if (dr.Read())
        {
            password = (Byte[])dr["Password"];
        }
        foreach (Byte c in password)
        {
            Label2.Text += c.ToString() + " ";//I didnt close the pracket fo that reason data is repeted if I close it I cant type c.toString



            while (dr.Read())
            {

                if (b.ToString() == c.ToString()) // I mean this statment
                {
                    isMatch = true;
                }
            }
        }




        dr.Close();
        con.Close();

        if (isMatch)
        {
            Response.Write("correct");
        }
        else
        {
            Response.Write("Incorrect username or password!");
        }

    }

отредактированный код защищенный void Button1_Click (отправитель объекта, EventArgs e) { } public static bool ValidateUser (строка userName, строка пароля) { SqlConnection con = new SqlConnection («Источник данных = shihab-PC; Начальный каталог = тест; Идентификатор пользователя = sh; пароль = admin»); con.Open ();

    using (var connection = new SqlConnection("connectionString"))
    using (var command = connection.CreateCommand())
    {
        command.CommandText = "SELECT dbo.checkUserExists (@userName, @password)";
        command.Parameters.Add("@userName", SqlDbType.NVarChar, 25).Value = userName;
        command.Parameters.Add("@password", SqlDbType.NVarChar).Value = GenerateHash(password);

        connection.Open();
        return (bool)command.ExecuteScalar();
    }
}

private static string GenerateHash(string value)
{
    return Convert.ToBase64String(new System.Security.Cryptography.HMACSHA1(Encoding.UTF8.GetBytes("salt")).ComputeHash(Encoding.UTF8.GetBytes(value)));
}

}

Prescott · Answer 1 · 11 ноября 2010

Когда вы сравниваете пароли - вам нужно вычислить MD5 по паролю, который они отправляют.

Итак, в вашем коде вы хотите что-то вроде этого:

MD5CryptoServiceProvider md5Hasher = new MD5CryptoServiceProvider();
//create an array of bytes we will use to store the encrypted password
Byte[] hashedBytes;
//Create a UTF8Encoding object we will use to convert our password string to a byte array
UTF8Encoding encoder = new UTF8Encoding();

//encrypt the password and store it in the hashedBytes byte array
hashedBytes = md5Hasher.ComputeHash(encoder.GetBytes(txtPassword.Text));

//set the password they are using now to password for the compare:
Password = hashedBytes;

Затем после этогоВы можете запустить свой код сравнения.Дело в том, что пароль в базе данных - это исходные хеш-байты, которые вы вычислили, когда они зарегистрировались

РЕДАКТИРОВАТЬ: вот он в вашем исходном коде:

SqlConnection con = new SqlConnection("Data Source=Shihab-PC;Initial Catalog=test;User ID=sh;password=admin");
con.Open();
string UserName = txtUserName.Text;
string Password = txtPassword.Text;

//hash password
MD5CryptoServiceProvider md5Hasher = new MD5CryptoServiceProvider();
Byte[] hashedBytes;
UTF8Encoding encoder = new UTF8Encoding();
hashedBytes = md5Hasher.ComputeHash(encoder.GetBytes(Password));
Password = hashedBytes.ToString();

bool isMatch = false;
SqlCommand cmdd = new SqlCommand(string.Format("select * from Users where UserName='{0}'", UserName),con);
SqlDataReader dr = cmdd.ExecuteReader();
while (dr.Read())
{
    if (dr["password"].ToString()==Password)  
    {
        isMatch = true;
    }
}
dr.Close();
con.Close(); 
if (isMatch)
{
    Response.Write("correct");
}
else
{
    Response.Write("Incorrect username or password!");
}

Обновлен код ошибки преобразования

Попробуйте этот код, чтобы увидеть пароли при этом будет напечатан хешированный пароль и пароль в базе данных - если онинесоответствие у вас есть проблема (возможно, проблема с солью)

Byte[] hashedBytes;
string Password = txtPassword.Text;
MD5CryptoServiceProvider md5Hasher = new MD5CryptoServiceProvider();
UTF8Encoding encoder = new UTF8Encoding();
hashedBytes = md5Hasher.ComputeHash(encoder.GetBytes(Password));

Response.Write(string.Format("Hashed Password (Given): {0}<br />", hashedBytes.ToString()));

string UserName = txtUserName.Text;
SqlConnection con = new SqlConnection("Data Source=Shihab-PC;Initial Catalog=test;User ID=sh;password=admin");
con.Open();

SqlCommand cmdd = new SqlCommand(string.Format("select * from Users where UserName='{0}'", UserName),con);

SqlDataReader dr = cmdd.ExecuteReader();

//should be only one row..
while (dr.Read())
{
    Response.Write(string.Format("Hashed Password (DB): {0}", dr["password"].ToString()));
}
dr.Close();
con.Close();

joaquin lopez · Answer 2 · 01 марта 2011

Это код, который я настраиваю из вашего кода, он работает нормально (сравнивает байт с байтом из сохраненного pwd в дБ с текущим pwd, данным пользователем):

        public bool AddNewUser(string userId, string pwd, string dept,string mail,string displayName)
    {
        //get the username    
        string UserName = userId;

        SqlConnection conn = new SqlConnection(GetConnectionString());     //sql command to add the user and password to the database    
        SqlCommand cmd = new SqlCommand("INSERT INTO MAIN_USER_DATA(USERID, PWD,DEPARTMENT,MAIL,DISPLAY_NAME) VALUES (@USERID, @PWD,@DEPARTMENT,@MAIL,@DISPLAY_NAME)", conn);    
        cmd.CommandType = CommandType.Text;     //add parameters to our sql query    
        cmd.Parameters.AddWithValue("@USERID", UserName);   
        cmd.Parameters.AddWithValue("@PWD", GenerateHash(userId ,pwd));
        cmd.Parameters.AddWithValue("@DEPARTMENT", dept);
        cmd.Parameters.AddWithValue("@MAIL", mail);
        cmd.Parameters.AddWithValue("@DISPLAY_NAME", displayName);
        using (conn)    {        //open the connection       
            conn.Open();        //send the sql query to insert the data to our Users table 
            try
            {
                cmd.ExecuteNonQuery();
                return true;
            }
            catch
            {
                return false;
            }
        }

    }
    public bool ValidateUser(string userId, string password)
    {
        using (SqlConnection connection = new SqlConnection(GetConnectionString())) 
        using (SqlCommand command = connection.CreateCommand())
        {
            command.CommandText = "SELECT PWD FROM MAIN_USER_DATA WHERE USERID=@USERID";
            command.Parameters.Add("@USERID", SqlDbType.NVarChar, 25).Value = userId;
            connection.Open();
            SqlDataReader dr = command.ExecuteReader();
            if (dr.Read())
            {
                byte[] storedPwd = (byte[])dr["PWD"];
                byte[] currentPwd = GenerateHash(userId, password);
                for (int i = 0;i< storedPwd.Length; i++)
                {
                    if (storedPwd[i] != currentPwd[i])
                    {
                        return false;
                    }
                }
            }
            else
                return false;
            return true;
        }
    }
    private byte[] GenerateHash(string userId, string password)
    {
        //create the MD5CryptoServiceProvider object we will use to encrypt the password    
        HMACSHA1 hasher = new HMACSHA1(Encoding.UTF8.GetBytes(userId));             //create an array of bytes we will use to store the encrypted password    
        //Byte[] hashedBytes;    //Create a UTF8Encoding object we will use to convert our password string to a byte array    
        UTF8Encoding encoder = new UTF8Encoding();     //encrypt the password and store it in the hashedBytes byte array    
        return hasher.ComputeHash(encoder.GetBytes(password));     //connect to our db 
    }

abatishchev · Answer 3 · 14 ноября 2010

C # код:

public static bool ValidateUser(string userName, string password)
{
    using (var connection = new SqlConnection("connectionString"))
    using (var command = connection.CreateCommand())
    {
        command.CommandText = "SELECT dbo.checkUserExists (@userName, @password)";
        command.Parameters.Add("@userName", SqlDbType.NVarChar, 25).Value = userName;
        command.Parameters.Add("@password", SqlDbType.NVarChar).Value = GenerateHash(password);

        connection.Open();
        return (bool)command.ExecuteScalar();
    }
}

private static string GenerateHash(string value)
{
    return Convert.ToBase64String(new System.Security.Cryptography.HMACSHA1(Encoding.UTF8.GetBytes("salt")).ComputeHash(Encoding.UTF8.GetBytes(value)));
}

Хранимая процедура SQL:

IF OBJECT_ID(N'checkUserExists', N'FN') IS NOT NULL
DROP FUNCTION checkUserExists
GO
CREATE FUNCTION checkUserExists
(
    @userName NVARCHAR(25),
    @password NVARCHAR(255)
)
RETURNS BIT
AS
BEGIN
    RETURN ISNULL((
        SELECT 1
        FROM users
        WHERE
            name = @userName
        AND password = @password
    ), 0)
END

сохранение и сравнение паролей к базе данных в двоичном виде с использованием md5

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

сохранение и сравнение паролей к базе данных в двоичном виде с использованием md5

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы