Hạn chế lỗi SQL Injection cho phần mềm Quản lý quán cafe với C# Winform
Lập trình phần mềm Quản lý quán cafe với C# Winform
HowKteam
Danh sách bài học
Hạn chế lỗi SQL Injection cho phần mềm Quản lý quán cafe với C# Winform
Dẫn nhập
Bạn đã học qua LẬP TRÌNH C# CƠ BẢN? Xong nốt cả LẬP TRÌNH WINFORM lẫn SQL?
Bạn đã chán các bài tập căn bản, muốn thực hành các kiến thức đã học vào một dự án thực tế?
Hay đơn giản bạn là chủ quán café, mong muốn tự tạo nên phần mềm dành cho chính mình sử dụng?
Sẽ không có gì tuyệt vời hơn là luyện tập với ví dụ thực tế. Nào! Cùng nhau thử thách bản thân với PHẦN MỀM QUÁN CAFÉ VỚI C# WINFORM
Ở bài trước, Kteam đã hướng dẫn bạn cách TẠO CHỨC NĂNG ĐĂNG NHẬP PHẦN MỀM QUẢN LÝ. Trong bài này, chúng ta sẽ tìm hiểu cách Hạn chế lỗi SQL Injection cho phần mềm Quản lý quán cafe với C# Winform
Nội dung
Nội dung bao gồm Source code & các lưu ý chính về quá trình thực hiện phần mềm. Kteam khuyến khích bạn cập nhập thêm nhiều kinh nghiệm cũng như hiểu chi tiết hơn về các kỹ thuật được đề cập trong bài học thông qua các video đính kèm.
Đừng quên Like Facebook hoặc +1 Google để ủng hộ Kteam và tác giả.
Để theo dõi tốt khóa học này, hãy đảm bảo bạn đã xem qua kiến thức về:
- LẬP TRÌNH WINFORM CƠ BẢN
- Delegate – Event
- SQL server
- Xử lý ngày tháng năm
Project tham khảo
Không có gì tuyệt vời hơn là luyện tập với ví dụ thực tế. Nào cùng nhau thử thách bản thân với phần mềm: Quản lý quán cafe
Bạn nên có kiến thức về:
- Lập trình Winform cơ bản
- Delegate – Event
- SQL server
- Xử lý ngày tháng năm
Code Data.sql
CREATE DATABASE QuanLyQuanCafe
GO
USE QuanLyQuanCafe
GO
-- Food
-- Table
-- FoodCategory
-- Account
-- Bill
-- BillInfo
CREATE TABLE TableFood
(
id INT IDENTITY PRIMARY KEY,
name NVARCHAR(100) NOT NULL DEFAULT N'Bàn chưa có tên',
status NVARCHAR(100) NOT NULL DEFAULT N'Trống' -- Trống || Có người
)
GO
CREATE TABLE Account
(
UserName NVARCHAR(100) PRIMARY KEY,
DisplayName NVARCHAR(100) NOT NULL DEFAULT N'Kter',
PassWord NVARCHAR(1000) NOT NULL DEFAULT 0,
Type INT NOT NULL DEFAULT 0 -- 1: admin && 0: staff
)
GO
CREATE TABLE FoodCategory
(
id INT IDENTITY PRIMARY KEY,
name NVARCHAR(100) NOT NULL DEFAULT N'Chưa đặt tên'
)
GO
CREATE TABLE Food
(
id INT IDENTITY PRIMARY KEY,
name NVARCHAR(100) NOT NULL DEFAULT N'Chưa đặt tên',
idCategory INT NOT NULL,
price FLOAT NOT NULL DEFAULT 0
FOREIGN KEY (idCategory) REFERENCES dbo.FoodCategory(id)
)
GO
CREATE TABLE Bill
(
id INT IDENTITY PRIMARY KEY,
DateCheckIn DATE NOT NULL DEFAULT GETDATE(),
DateCheckOut DATE,
idTable INT NOT NULL,
status INT NOT NULL DEFAULT 0 -- 1: đã thanh toán && 0: chưa thanh toán
FOREIGN KEY (idTable) REFERENCES dbo.TableFood(id)
)
GO
CREATE TABLE BillInfo
(
id INT IDENTITY PRIMARY KEY,
idBill INT NOT NULL,
idFood INT NOT NULL,
count INT NOT NULL DEFAULT 0
FOREIGN KEY (idBill) REFERENCES dbo.Bill(id),
FOREIGN KEY (idFood) REFERENCES dbo.Food(id)
)
GO
INSERT INTO dbo.Account
( UserName ,
DisplayName ,
PassWord ,
Type
)
VALUES ( N'K9' , -- UserName - nvarchar(100)
N'RongK9' , -- DisplayName - nvarchar(100)
N'1' , -- PassWord - nvarchar(1000)
1 -- Type - int
)
INSERT INTO dbo.Account
( UserName ,
DisplayName ,
PassWord ,
Type
)
VALUES ( N'staff' , -- UserName - nvarchar(100)
N'staff' , -- DisplayName - nvarchar(100)
N'1' , -- PassWord - nvarchar(1000)
0 -- Type - int
)
GO
CREATE PROC USP_GetAccountByUserName
@userName nvarchar(100)
AS
BEGIN
SELECT * FROM dbo.Account WHERE UserName = @userName
END
GO
EXEC dbo.USP_GetAccountByUserName @userName = N'k9' -- nvarchar(100)
GO
CREATE PROC USP_Login
@userName nvarchar(100), @passWord nvarchar(100)
AS
BEGIN
SELECT * FROM dbo.Account WHERE UserName = @userName AND PassWord = @passWord
END
GO
Code DataProvider.cs
using System;
using System.Collections.Generic;
using System.Data;
using System.Data.SqlClient;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
namespace QuanLyQuanCafe.DAO
{
public class DataProvider
{
private static DataProvider instance; // Ctrl + R + E
public static DataProvider Instance
{
get { if (instance == null) instance = new DataProvider(); return DataProvider.instance; }
private set { DataProvider.instance = value; }
}
private DataProvider(){}
private string connectionSTR = "Data Source=.\\sqlexpress;Initial Catalog=QuanLyQuanCafe;Integrated Security=True";
public DataTable ExecuteQuery(string query, object[] parameter = null)
{
DataTable data = new DataTable();
using (SqlConnection connection = new SqlConnection(connectionSTR))
{
connection.Open();
SqlCommand command = new SqlCommand(query, connection);
if (parameter != null)
{
string[] listPara = query.Split(' ');
int i = 0;
foreach (string item in listPara)
{
if (item.Contains('@'))
{
command.Parameters.AddWithValue(item, parameter[i]);
i++;
}
}
}
SqlDataAdapter adapter = new SqlDataAdapter(command);
adapter.Fill(data);
connection.Close();
}
return data;
}
public int ExecuteNonQuery(string query, object[] parameter = null)
{
int data = 0;
using (SqlConnection connection = new SqlConnection(connectionSTR))
{
connection.Open();
SqlCommand command = new SqlCommand(query, connection);
if (parameter != null)
{
string[] listPara = query.Split(' ');
int i = 0;
foreach (string item in listPara)
{
if (item.Contains('@'))
{
command.Parameters.AddWithValue(item, parameter[i]);
i++;
}
}
}
data = command.ExecuteNonQuery();
connection.Close();
}
return data;
}
public object ExecuteScalar(string query, object[] parameter = null)
{
object data = 0;
using (SqlConnection connection = new SqlConnection(connectionSTR))
{
connection.Open();
SqlCommand command = new SqlCommand(query, connection);
if (parameter != null)
{
string[] listPara = query.Split(' ');
int i = 0;
foreach (string item in listPara)
{
if (item.Contains('@'))
{
command.Parameters.AddWithValue(item, parameter[i]);
i++;
}
}
}
data = command.ExecuteScalar();
connection.Close();
}
return data;
}
}
}
Code AccountDAO.cs
using System;
using System.Collections.Generic;
using System.Data;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
namespace QuanLyQuanCafe.DAO
{
public class AccountDAO
{
private static AccountDAO instance;
public static AccountDAO Instance
{
get { if (instance == null) instance = new AccountDAO(); return instance; }
private set { instance = value; }
}
private AccountDAO() { }
public bool Login(string userName, string passWord)
{
string query = "USP_Login @userName , @passWord";
DataTable result = DataProvider.Instance.ExecuteQuery(query, new object[]{userName, passWord});
return result.Rows.Count > 0;
}
}
}
Kết
Trong bài này, chúng ta đã tìm hiểu cách Hạn chế lỗi SQL Injection cho phần mềm quản lý Quán cafe bằng C# winform
Ở bài sau, Kteam sẽ giới thiệu đến bạn về HIỂN THỊ SỐ BÀN THEO CSDL CHO PHẦN MỀM QUẢN LÝ QUÁN CAFE VỚI C# WINFORM
Cảm ơn các bạn đã theo dõi bài viết. Hãy để lại bình luận hoặc góp ý của mình để phát triển bài viết tốt hơn. Và đừng quên “Luyện tập – Thử Thách – Không ngại khó”
Tải xuống
Tài liệu
Nhằm phục vụ mục đích học tập Offline của cộng đồng, Kteam hỗ trợ tính năng lưu trữ nội dung bài học Hạn chế lỗi SQL Injection cho phần mềm Quản lý quán cafe với C# Winform dưới dạng file PDF trong link bên dưới.
Ngoài ra, bạn cũng có thể tìm thấy các tài liệu được đóng góp từ cộng đồng ở mục TÀI LIỆU trên thư viện Howkteam.com
Đừng quên like và share để ủng hộ Kteam và tác giả nhé!
Project
Nếu việc thực hành theo hướng dẫn không diễn ra suôn sẻ như mong muốn. Bạn cũng có thể tải xuống PROJECT THAM KHẢO ở link bên dưới!
Thảo luận
Nếu bạn có bất kỳ khó khăn hay thắc mắc gì về khóa học, đừng ngần ngại đặt câu hỏi trong phần bên dưới hoặc trong mục HỎI & ĐÁP trên thư viện Howkteam.com để nhận được sự hỗ trợ từ cộng đồng.
Nội dung bài viết
Tác giả/Dịch giả
Khóa học
Lập trình phần mềm Quản lý quán cafe với C# Winform
Bạn đã học qua LẬP TRÌNH C# CƠ BẢN? Xong nốt cả LẬP TRÌNH WINFORM lẫn SQL?
Bạn đã chán các bài tập căn bản, muốn thực hành các kiến thức đã học vào một dự án thực tế?
Hay đơn giản bạn là chủ quán café, mong muốn tự tạo nên phần mềm dành cho chính mình sử dụng?
Vậy còn chần chừ gì không tham gia ngay khóa học LẬP TRÌNH PHẦN MỀM QUÁN CAFÉ VỚI C# WINFORM?
Đánh giá
Dùng EntityFramework có lỗi SQL injection không anh?
Nên bổ sung một chút để khi nhập query không phải bận tâm đến việc phải có dấu cách sau param:
An unhandled exception of type 'System.Data.SqlClient.SqlException' occurred in System.Data.dll
Additional information: Could not find stored procedure 'USP_Login'.
Mọi người cho em hỏi , em làm như trên series anh dạy vậy mà nó báo không tìm được USP_Login là sao vậy ạ .
Mong mọi người giúp đỡ em ạ
Cảm ơn mọi người
'INSERT dbo.Account( UserName ,DisplayName ,PassWord ,Type)VALUES ( N'GG' , N'1' , N'0' , 0 )--
Em thêm câu lệnh đó vào txbPassWord nó báo mật khẩu hoặc tk sai nhưng nó vẫn tiếp tục thực hiện câu lệnh tiếp theo, nếu giả sử kẻ tấn công nhập
' drop table Account--
thì tạch à
ad cho em hỏi ngu cái !
phần MessageBox.Show mình muốn tăng cớ chữ khi chạy ứng dụng nhìn nó hơi nhỏ thì làm ntn ?