14.3.1 实现关键技术

作者: 明日科技张跃廷房大伟苏宇出处:人民邮电出版社　2008-04-11 00:09　砖好评论条　进入论坛

阅读提示：《ASP.NET 2.0网络编程自学手册》适用于ASP.NET初、中级用户，也可作为大、中院校师生和培训班的教材，对于网络编程爱好者，本书也有非常好的参考价值。本文介绍了如何实现关键技术。

14.3 会员登录

会员登录主要通过判断用户输入的会员名和密码是否与数据库中的会员名和密码相等来实现，相等则登录成功。现在许多网站在登录页面中利用验证码技术，阻止一些非法的操作。本节介绍会员登录功能的实现。

14.3.1 实现关键技术

1．防止SQL注入式攻击

在判断用户输入的会员名和密码是否和数据库中的相等时，需要注意SQL注入式攻击，SQL注入式攻击是指利用设计上的漏洞，在目标服务器上运行SQL命令以及进行其他方式的攻击。假如在登录页面里添加一个文本框用来输入会员名，一个按钮用来登录。在文本框中输入会员名“mr”，然后用SQL语句查找出数据库中符合条件的记录有几条。SQL语句如下。

Select  count(*) from LoginInfo where Name='mr'

如果在文本框中输入“mr’or’1’=’1”那么SQL语句如下。

Select  count(*) from LoginInfo where Name='mr' or '1' = '1'

这样一条SQL语句的作用是查找出LoginInfo表中的所有记录，为了防止这样的SQL语句注入攻击，通常使用SqlCommand.Parameters属性传参的方法将非法字符过滤掉。代码如下。

com.Parameters.Add(new SqlParameter("@name", SqlDbType.VarChar, 50));
com.Parameters["@name"].Value = TextName.Text;

2．验证码技术

所谓验证码，就是将一串随机产生的数字或符号，生成一幅图片，图片里加上一些干扰像素，由用户肉眼识别其中的验证码信息，输入表单提交网站验证，验证成功后才能使用某些功能。验证码的作用是有效防止注册用户用特定程序暴力破解方式进行不断的登录尝试来破解密码。实际上用验证码是现在很多网站通行的方式，虽然登录略显麻烦，但是这个功能还是很有必要，也很重要。不少网站为了防止用户利用机器人自动注册、登录、灌水，都采用了验证码技术。下面详细介绍本程序中验证码技术的实现。

在ValidateCode.aspx页面中Page_Load事件实现了验证码的关键技术。首先在Page_Load事件中调用了CreateRandomCode自定义方法用来产生4位随机字符，在将随机字符保存到Session中便于判断验证码输入的对错。最后调用CreateImage自定义方法对4位随机字符产生干扰。Page_Load事件的代码如下。

protected void Page_Load(object sender, EventArgs e)
{
string checkCode = CreateRandomCode(4);
Session["CheckCode"] = checkCode;
CreateImage(checkCode);
}

自定义方法CreateRandomCode产生4位随机字符，主要使用字符串数组存放数字和大写字母，使用随机数产生数组的下标，把字符取出放入字符串中。CreateRandomCode方法代码如下。

//产生4位随即字符
private string CreateRandomCode(int codeCount)
{
string allChar = "0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,
I,J,K,L,M,N,O,P,Q,R,S,T,U,W,X,Y,Z";
string[] allCharArray = allChar.Split(',');    
//以","为分割符把allChar拆分成数据
string randomCode = "";
int temp ;
Random rand = new Random();
for (int i = 0; i < codeCount; i++)
{           
int t = rand.Next(35);         
temp = t;
randomCode += allCharArray[t];
}
return randomCode;
}

把取出的字符串通过自定义方法CreateImage添加一些干扰素，在CreateImage方法中绘制验证码需要应用Graphics类封装一个绘图图面、Font类定义字体字号和字形属性、Brush类定义填充图形的形状、Pen类定义用于绘制直线和曲线的对象使用这几个类需要添加命名空间using System.Drawing。CreateImage方法中的代码如下。

//给随机字符添加干扰
private void CreateImage(string checkCode)
{
int iwidth = (int)(checkCode.Length * 11.5);
//封装 GDI+ 位图，此位图由图形图像及其属性的像素数据组成.指定宽度和高度。
以像素为单位
System.Drawing.Bitmap image = new System.Drawing.Bitmap(iwidth, 20);
//封装一个 GDI+ 绘图图面。无法继承此类.从指定的 Image 创建新的 Graphics
Graphics g = Graphics.FromImage(image);
//font封装在特定设备上呈现特定字体所需的纹理和资源(字体，大小，字体样式)
Font f = new System.Drawing.Font("Arial", 10, System.Drawing.FontStyle.Bold);
/**Brush定义用于填充图形形状（如矩形、椭圆、圆形、多边形和封闭路径）
的内部的对象
SolidBrush(Color.White)初始化指定颜色 指定画笔颜色为白色**/
Brush b = new System.Drawing.SolidBrush(Color.White);
//清除整个绘图面并以指定背景色填充
g.Clear(Color.Red);
/**在指定位置并且用指定的 Brush 和 Font 对象绘制指定的文本字符串
(指定的字符串，字符串的文本格式,绘制文本的颜色和纹理,所绘制文本的左上角的 
x 坐标,坐标)**/
g.DrawString(checkCode, f, b, 3, 3);
//定义用于绘制直线和曲线的对象。(指示此 Pen 的颜色,指示此 Pen 的宽度的值)
Pen blackPen = new Pen(Color.Blue, 0);
Random rand = new Random();
for (int i = 0; i < 4; i++)
{   
//随机高度
int y = rand.Next(image.Height);
//绘制一条连接由坐标对指定的两个点的线条    
//线条的颜色、宽度和样式,第一个点的 x 坐标,第一个点的 y 坐标,
第二个点的 x 坐标,第二个点的 y 坐标
g.DrawLine(blackPen, 0, y, image.Width, y);
}
//创建存储区为内存的流
System.IO.MemoryStream ms = new System.IO.MemoryStream();
//将此图像以指定的格式保存到指定的流中(将其保存在内存流中,图像的格式)
image.Save(ms, System.Drawing.Imaging.ImageFormat.Jpeg);
//清除缓冲区将流中的内容输出
Response.ClearContent();
//获取输出流的类型
Response.ContentType = "image/Jpeg";
//将二进制字符串写入HTTP输出流
Response.BinaryWrite(ms.ToArray());
g.Dispose();
image.Dispose();
}

回书目 上一节 下一节

关于 ASP .NET 的

文章

博文

帖子

· 14.4 本章小结(04/11)

· 14.3.2 功能实现(04/11)

· 14.2.2 功能实现(04/11)

· 14.2.1 实现关键技术(04/11)

· 14.1.4 文件组织结构(04/11)

· asp.net页面某些类型的文件不能下载

· .net委托

· IIS打不开ASP文件的完全解决方案

· 最近预计使用C#.NET开发一个财产管理系统

· ASP.NET 2.0 dumb’s down request validation

· 除了vs还有没其它更好的工具用来开发.net

· 在asp.net中怎样连接数据库

· 推荐一款.net oa系统

· 求asp.net源码和论文

· Exchange产品开发和技术服务|技术文章|资源下..

专题

我也说两句

叫好

拍砖

中国最大的网络技术网站 ·
技术成就梦想

·假期读书充电

· Linux结课考试自测获奖..
· 上周Linux系统命令的使..
· 上周真题冲刺测试获奖..
· 全国计算机等考四级模..
· 08年3月各大网上书店及..
· 网络工程师模拟测试获..

· 全国计算机软考考试指..
· 3月24日WCF聊天活动积..
· 全国计算机等级考试四..
· 软件项目估计：第2版
· 系统分析师基础知识自..
· 构建可扩展的Web站点的..

排行榜

·假期读书充电 (查看5862次)
·1.2 网络定义 (查看1094次)
·《网管员必读—网络应用》自测.. (查看883次)
·历次技术自测获奖网友详细信息 (查看848次)
·SQL Server入门到精通技术自测.. (查看795次)

·SQL Server入门到精通技术自测试题答案 (5个砖)
·网管员全真面试题自测获奖结果及答案解析 (4个砖)
·超级网管员——网络应用技术自测试题答案 (4个砖)
·免费讲座：搜索引擎营销打造成功网站 (3个砖)
·历次技术自测获奖网友详细信息 (3个砖)

·假期读书充电 (9个好)
·1.2 网络定义 (3个好)
·Visual C++数字图像处理开发入门与编程实践 (3个好)
·《游戏开发核心技术-剧本与角色创造》阅读不枯燥 (3个好)
·SQL Server入门到精通技术自测试题答案 (3个好)

·LAMP技术精解 (04月)
·J2EE开源编程精要15讲：整合Eclipse、Struts、Hibe.. (04月)
·企业网络安全致胜宝典 (04月)
·2008年上半年全国软考冲刺辅导 (04月)
·SOA思想、技术与系统集成应用详解 (04月)

·首届中国IT工程师生态调查十大发现
·全国软考模拟测试之系统分析师

· 化解无线网络中的IP地..
· 上周安全回顾:IIS系统..
· 财力人手紧缺中小企业..
· 80后已成中国黑客主流 ..
· 体验Spring的IoC容器对..
· FTP用户权限/站点权限/..
· 通过流量监控快速判断..
· 黑客称有新招黑掉Oracl..

· 系统分析师专家模拟自测
· 调查显示超八成IT人有..
· 山东淄博推8M超级ADSL..
· 微软致雅虎收购最后通..
· 上周回顾:中国网民居全..
· TD芯片商凯明濒临倒闭 ..
· H3C独家纵横字谜游戏 ..
· 满意度不到30% 谁能尝..

订阅技术快讯

电子杂志下载

名称：SQL Server数据库管理精品黄皮书
简介：书中文章经过精挑细选，便于用户能根据自己的实际工作和学习，快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息，以及DBA管理人员在数据库管理工作中

名称：2007路由技术大全
简介：《2007路由技术大全》由51CTO.com网站特别策划制作，该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复，以及广大网友在实践使用中的心得经验和技巧文章，内容注重实用性，适用于初学者入门，也适合多年从业者提高，是一本实践和理论完

名称：网络安全精品应用黄皮书
简介：《2007精品网络安全黄皮书》包括了9个大类24个小类， 800余篇文章，内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范，涉及到了安全应用的全部领域, 由浅至深内容全面。

专题

最多好

最多砖