案例网站会员注册与登录.pptVIP

案例1-网站会员注册与登录 学习重点 掌握会员注册功能的实现. 了解验证控件的使用. 了解MD5加密技术. 掌握会员登录功能的实现. 了解验证码技术 设计思路—功能概述 判断用户输入的会员名和密码是否正确； 利用验证码来防止用户的非法操作； 用户登录成功添加登录日志； 注册新的会员； 判断注册新会员名是否已经被使用； 判断用户输入的一些资料是否合法； 用户注册成功添加注册日志。 设计思路—业务流程图 本案例主要包括两种操作：用户登录和用户注册。 数据库设计—LoginInfo表 LoginInfo表用来存储后台会员名称、密码和基本资料。 LoginLog表 LoginLog表用来存储会员注册日志，记录会员注册的时间。 EntryLog表 EntryLog表用来存储会员登录日志，记录会员登录时间。 文件组织结构 会员注册—关键技术 MD5加密技术（单向加密），根据指定的密码和散 列算法生成一个合适于存储在配置文件中的散列密 码。命名空间为： System.Web.Security 语法为： Public static string HashPasswordForStoringInConfigFile(string password,string passwordFormat) 语法为： Public static string HashPasswordForStoringInConfigFile(string password,string passwordFormat) 参数说明： password:要进行散列运算的密码。 passwordFormat:要使用的散列算法。是string 类型。 在用户添加注册信息时需要判断其输入信息的合法性，主 要考虑的有：会员名不能为空、两次密码是否一致等。判断 这些信息需要使用服务器验证控件。 例如： asp:TextBox ID=TextName runat=server /asp:TextBox span style=color: #ff0066*/span asp:RequiredFieldValidator ID=“RequiredFieldValidatorName” runat=server ControlToValidate=TextName ErrorMessage=必须填写 /asp:RequiredFieldValidator 解释： ControlToValidate属性设置为 “TextName” ErrorMessage属性设置为“必须填写” 会员登录—关键技术 1.防止SQL注入式攻击 在判断用户输入的会员名和密码是否和数据库中的相等时, 需要注意SQL注入式攻击，它是指利用设计上的漏洞，在目标 服务器上运行SQL命令以及进行其他方式的攻击。例如在输入 会员名的文本框中输入名“mr”，然后用SQL语句查找数据库 中符合条件的记录有几条。SQL语句如下： Select count(*) from LoginInfo where Name=‘mr’ 如果在文本框中输入 “mr’or’1’”那么SQL语句如下: Select count(*) from LoginInfo where Name=mr’or’1’ 这样一条SQL语句作用是查找出LoginInfo表中所有记录， 为了防止这样的SQL语句注入攻击，通常使用: SqlCommand.Parameters属性传参的方法将非法字符过滤 掉。代码见下页： SqlCommand com=new SqlCommand (“select count(*)from logininfo where Name=@name ”, con); com.Parameters.Add (new SqlParameter(“@name”,SqlDbType.VarChar,50)); com.Parameters[“@name”].Value=TextName.Text; 验证码技术： 在验证码产生的页面ValidateCode.aspx的page_load 事件中实现了该技术。首先在page_load中调用了自定义方 法CreateRandomCode产生4个随机字符，在将随机字符保 存到session中便于判断验证码输入的对错。最后调用自定义 方法CreateImage对4位随机字符产生干扰。 protected void Page_Load(object sender, EventArgs e) {