.net 没有字符串比较方法有效

【问题标题】:.net No strings comparison methods are working.net 没有字符串比较方法有效
【发布时间】:2021-06-01 06:29:51
【问题描述】:

好吧,我一直在尝试构建一个简单的登录(没有那么复杂),一切正常,但不是您需要比较数据库结果和用户输入的部分。 问题来了:

if (item.user == User && item.password == Password) {
  itExists = true;
  break;
}

item.usuario 工作正常,用户输入也正确保存,我知道这一点,因为当我尝试与此进行比较时:

if (item.user.Contains(User) && item.password.Contains(Password)) {
  itExists= true;
  break;
}

它工作“很好”,“包含”的问题是当用户输入一个字母时(例如,想象如果在数据库中,用户/密码是 admin/admin 并且用户输入 a/a)它会让他登录,因为“a”包含在“admin”中

所以,我搜索了几乎所有的比较方法,并尝试了这个:

// Isn't working directly. ToString(item.user) == Convert.ToString(User) && Convert.ToString(item.password) == Convert.ToString(Password)
                // Isn't working directly. item.user== User && item.password == Password
                // Isn't working directly. item.user.Equals(User) && item.password.Equals(Password)
                // Isn't working directly. String.Equals(item.user, User) && String.Equals(item.password, Password)
                // Is working, but if u write a single letter that is in the string,
                // It let u sign in. item.user.Contains(User) && item.password.Contains(Password)

我知道这些不起作用,因为使用 .Contains() 它可以让你使用正确的用户/密码登录,但我已经告诉过这个问题

我想知道为什么会发生这种情况,以及如何做到这一点。

每个变量包含:

  • item.user 是 foreach 的迭代(即带来数据库用户信息)
  • User是用户的输入(html表单)

完整的控制器代码在这里:

public ActionResult Index(string User, string Password) {
        var UsersList= db.Users;
        bool itExists= false;
        foreach (var item in UserList) {
            if (item.user.Contains(User) && item.password.Contains(Password)) {
               itExists= true;
               break;
}}

(我想我已经解释得很好,如果我没有解释的话,对不起)

提前谢谢你:)

编辑:如果重要的话,我使用的是 ASP.NET (.Net Framework 4.7.2)

【问题讨论】:

  • 能分享一下if中每个变量的值吗?
  • 我将编辑问题以添加这个,在我这样做的路上,谢谢你!
  • 快速建议,永远不要存储纯文本密码。
  • password.Contains(Password) 意思是password代表的词包含在password代表的词中。这并不意味着密码包含在数据库中
  • 首先,您是否 100% 确定字符串相等?有时那里会有不可打印的字符。它发生在我身上。

标签: c# .net string comparison


【解决方案1】:

对于密码,您应该坚持使用“==”进行比较。用户发送的密码应该与数据库中的密码完全匹配(顺便说一下,您应该使用哈希而不是实际密码,但这不是这里的问题)。

对于用户名,您可以更加灵活(例如,用户可能会使用大写字母或在后面添加空格)所以您应该注意这一点:

item.usuario.Trim().Equals(User, StringComparison.CurrentCultureIgnoreCase);

使用 Trim() 您将删除之前/之后的所有空格,而 Equals 参数将确保比较不区分大小写。

如果在将“用户”添加到数据库之前没有完成,您还应该修剪它。

您还应该使用 LINQ 而不是 for each :

var trimmedUserName = item.usuario.Trim();
var exists = UserList.Any(u => trimmedUserName.Equals(User, 
StringComparison.CurrentCultureIgnoreCase) && item.password == Password);

我相信你知道,但使用“.Contains”将是一个巨大的安全问题。

【讨论】:

  • 为什么要使用 LINQ 而不是 foreach?我认为“应该”在这里没有传达正确的信息。
  • 也许不是正确的词。它只是 LINQ 通常(正确编写时)更具可读性,并且由一些代码分析器或重构工具提供建议:-)
  • 好的,我尝试了您发布的用户代码并使用“==”与密码进行比较,但没有成功。那么,使用 LINQ 会是这样吗? foreach (var item in UserList) { var trimmedUserName = item.user.Trim(); encontrado = UserList.Any(u => trimmedUserName.Equals(User, StringComparison.CurrentCultureIgnoreCase) && item.password == Password); } ^ 这工作得很好,但我不知道如何摆脱那里的 foreach
  • 我不同意更具可读性的部分。在 LINQ 方面,正确性和可读性很可能成反比。
  • @SebastiánVillegas 使用 linq 您应该删除 foreach。 “UserList.Any”将为您浏览所有列表。如果不起作用,您可以在此处复制粘贴两个密码(来自数据库和用户?)
【解决方案2】:

我认为你应该重新排列你的 Index 方法。

  public ActionResult Index(string User, string Password) {
     var dbUser = _db.Users
        .FirstOrDefault(u => u.UserName == User && u.password == Password);

     if(dbUser != null)
        itExists = true;
     
     return Ok(itExists);
  }}

【讨论】:

  • 由于您并不是真的想使用 dbUser,只是想知道它是否存在,我认为“.Any”运算符更合适。
  • @Arcord 你可能是对的,我只是假设他要对用户做其他事情。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2010-12-09
  • 2020-03-01
  • 2011-03-22
  • 2021-03-27
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode