在C#中使用sql语句更改Oracle数据库的用户密码

发布时间：2020-12-15 07:50:38 所属栏目：百科来源：网络整理

导读：我正在处理一项要求,必须从我的应用程序更改当前用户的oracle连接密码. 我发现我可以使用以下语句通过SQL来完成此任务： ALTER USER *username* IDENTIFIED BY *password* 但是,因为用户名和密码未作为带引号的字符串发送到数据库,所以不能使用绑定参数. (此

我正在处理一项要求,必须从我的应用程序更改当前用户的oracle连接密码.

我发现我可以使用以下语句通过SQL来完成此任务：

ALTER USER *username* IDENTIFIED BY *password*

但是,因为用户名和密码未作为带引号的字符串发送到数据库,所以不能使用绑定参数. (此答案也为stated)

当我连接一个字符串并将其作为常规sql查询通过我的Entity Framework DbContext实例发送时,我有一个可行的解决方案,如下所示：

using (var context = _dbContextFactory.CreateContext())
{
    await context.Database.ExecuteSqlCommandAsync(
      $"ALTER USER {username} IDENTIFIED BY "{newPassword}"");
}

这种方法的缺点是,通过在字符串中隐藏密码,我具有SQL注入漏洞,并且用户无法在密码中使用某些保留字符,例如;和“

我不关心username参数,因为它在后端代码中管理,但是密码直接来自用户输入.

是否可以使用安全方法从C#更改Oracle数据库中的当前用户密码？我也愿意接受其他方法,例如差异方法或在数据库中创建存储过程,只要可以在C#客户端应用程序中实现即可.

我们使用的是Oracle版本12,因此无法使用IDENTIFIED BY VALUES”语法

最佳答案

对于用户名,我们必须提供Oracle Identifier(以防我们保留原始查询),即

>最多30个字符
>必须以字母开头
>可以包含$(美元符号),_(下划线)和#(哈希符号)

我们可以通过正则表达式验证提供的值：

if (!Regex.IsMatch(username,@"^[A-Za-z][A-Za-z0-9_#$]{0,29}$")) {
  // username is invalid
}

对于密码,我们可以

>双引号：my“ password-> my”“ password
>确保密码仅包含有效字符(例如,让我们排除Unicode控制字符,例如退格键和其他字符)

所以代码将是这样的

if (!Regex.IsMatch(username,@"^[A-Za-z][A-Za-z0-9_#$]$")) {
  // username is invalid
}

if (string.IsNullOrEmpty(newPassword) || newPassword.Any(c => char.IsControl(c))) {
  // password is invalid
}

using (var context = _dbContextFactory.CreateContext()) {
  await context.Database.ExecuteSqlCommandAsync(
    $"ALTER USER {username} IDENTIFIED BY "{newPassword.Replace(""","""")}"");
}

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!