Не работает нужным образом (if) и (else)

@Sterben124 · Регистрация: 08.01.2019

Студворк — интернет-сервис помощи студентам

Здравствуйте, у меня проблема в форме в этой части кода не работает нужным образом именно (if) и (else), можете подсказать в чем!?
Нужно что бы условие else выполнилось в форме.

C#
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
private async void login_btn_Click(object sender, EventArgs e)
        {
 
            if (!String.IsNullOrEmpty(name_txtb.Text) && !String.IsNullOrWhiteSpace(name_txtb.Text) &&
                !String.IsNullOrEmpty(sname_txtb.Text) && !String.IsNullOrWhiteSpace(sname_txtb.Text) &&
                !String.IsNullOrEmpty(phone_txtb.Text) && !String.IsNullOrWhiteSpace(phone_txtb.Text) &&
                !String.IsNullOrEmpty(email_txtb.Text) && !String.IsNullOrWhiteSpace(email_txtb.Text) &&
                !String.IsNullOrEmpty(adress_txtb.Text) && !String.IsNullOrWhiteSpace(adress_txtb.Text) &&
                !String.IsNullOrEmpty(user_txtb.Text) && !String.IsNullOrWhiteSpace(user_txtb.Text) &&
                !String.IsNullOrEmpty(pass_txtb.Text) && !String.IsNullOrWhiteSpace(pass_txtb.Text))
            {
                var convertQuery = string.Format(@"SELECT * FROM users WHERE account = '{0}'", user_txtb.Text.Trim());
                SqlCommand cmd = new SqlCommand(convertQuery, con);
                DataTable dataTable = new DataTable();
                SqlDataAdapter dataAdapter = new SqlDataAdapter(cmd);
                dataAdapter.Fill(dataTable);
                string user_name = null;
                foreach (DataRow row in dataTable.Rows)
                {
                    user_name = Convert.ToString(row["account"]);
                }
                if (user_txtb.Text == user_name)
                {
                    const string email_cound = @"^([\w]+)@([\w]+)\.([\w]+)$";
                    const string phone_cound = @"^\+?77([0124567][0-8]\d{7})$";
                    if (Regex.IsMatch(email_txtb.Text, email_cound) && Regex.IsMatch(phone_txtb.Text, phone_cound))
                    {
                        var trueQuery = string.Format(@"INSERT INTO [users] ([name], [surname], [phone], [email], [adress], [account], [password], [group]) 
                                               VALUES ('{0}', '{1}', {2}, '{3}', '{4}', '{5}', '{6}', 1)",
                        name_txtb.Text, sname_txtb.Text, phone_txtb.Text, email_txtb.Text, adress_txtb.Text, user_txtb.Text.ToLower(), pass_txtb.Text);
                        SqlCommand command = new SqlCommand(trueQuery, con);
                        await con.OpenAsync();
                        await command.ExecuteNonQueryAsync();
                        con.Close();
 
                        login_f f = new login_f();
                        f.Show();
                        this.Hide();
                    }
                    else
                    {
                        MessageBox.Show("Email или телефон номера не соответсвует!");
                    }
                }
                else
                {
                    MessageBox.Show("Имя аккаунта уже существует!");
                }
            }
            else
            {
                MessageBox.Show("Дополните информацию");
            }

@Semen-Semenich · 28.05.2019, 12:13

Sterben124, спросите в разделе по C#

@tooru · 28.05.2019, 12:29

Сообщение от Sterben124

if (!String.IsNullOrEmpty(name_txtb.Text) && !String.IsNullOrWhiteSpace(name_txtb.Tex t) &&
* * * * * * * * !String.IsNullOrEmpty(sname_txtb.Text) && !String.IsNullOrWhiteSpace(sname_txtb.Te xt) &&
* * * * * * * * !String.IsNullOrEmpty(phone_txtb.Text) && !String.IsNullOrWhiteSpace(phone_txtb.Te xt) &&
* * * * * * * * !String.IsNullOrEmpty(email_txtb.Text) && !String.IsNullOrWhiteSpace(email_txtb.Te xt) &&
* * * * * * * * !String.IsNullOrEmpty(adress_txtb.Text) && !String.IsNullOrWhiteSpace(adress_txtb.T ext) &&
* * * * * * * * !String.IsNullOrEmpty(user_txtb.Text) && !String.IsNullOrWhiteSpace(user_txtb.Tex t) &&
* * * * * * * * !String.IsNullOrEmpty(pass_txtb.Text) && !String.IsNullOrWhiteSpace(pass_txtb.Tex t))

Ужас, засуньте компоненты в массив и проверьте с помощью linq

@mmm_corp · 28.05.2019, 14:26

и получите sql-инёкцыю

C#
1
var convertQuery = string.Format(@"SELECT * FROM users WHERE account = '{0}'", user_txtb.Text.Trim());

вас кто учил так писать код?

@Sterben124 · 28.05.2019, 15:46 **[ТС]**

Спасибо вам, но я решил проблему.
tooru, хорошо.
mmm_corp, индусы)

@Lexeq · 28.05.2019, 17:39

Sterben124, достаточно IsNullOrWhiteSpace, IsNullOrEmpty тут лишнее

@kpNemo · 28.05.2019, 18:26

mmm_corp, а как её получить? Слышал про такое понятие, но что плохого в данном запросе?

@mmm_corp · 28.05.2019, 18:30

Сообщение от kpNemo

Слышал про такое понятие, но что плохого в данном запросе?

плохо всьо, если кратко то данные запроса нужно экранировать, иначе сформировав запрос нужным образом можно получить доступ к БД
вот на пальцах:
https://ru.wikipedia.org/wiki/... 0%B4%D0%B0

@kpNemo · 28.05.2019, 20:22

mmm_corp, ознакомился, не совсем понимаю принцип защиты от таких вещей. Что вообще мешает взять любому злоумышленнику рефлектор, или деобфускатор, или перехватить формируемые sql-запросы, или даже дизасемблировать код, выдернув в отладке код формирования sql-запроса? Ещё ни разу не встречал коммерческих приложений на C#, которые бы не удалось мало-того получить исходные коды, так во многих случаях ещё и поменять их. А я не какой-то там супер-хацкер-взломщик-злоумышленник, а обычный такой средненький работяга. Ещё интересный факт, мой хороший друг работает как раз разрабом в одном довольно крупном интернет-казино, там у них всё на микросервисах построено, и самое интересное - у них тоже не слышно об этих экранированиях, а вся валидация происходит на серверной части, и, тьфу-тьфу-тьфу - пока не взломали.

И всё-таки я не понял что у него неверно, параметр в скобочках, поидее он будет восприниматься как параметр и вернёт null.

@mmm_corp · 28.05.2019, 22:27

параметр в скобках это просто место куда будет засунут нулевой параметр, не более того
экранирование на строне сервера - ок, нет проблем, я же не буду разбиратся кто чем проксирует перед бэкендом, хотя по хорошему был бы я босом, то за такое всеравно по рукам надавал)
а еще лучше, если сервис серйозный и баблозависимый, то вообще препочитаю переход на вюхи и хранимки, облепить все это RowSecurity, и спать спокойно
вы поймите, не взламали - ок, отлично, взламали - поздно метатся, уже милион раз видел эту ситуацию, сначала либо ленятся программисты (веди итак работает, а тупые манагеры не желают вникать что такое тестинг, тексты-кейсы и пр... , итак сойдет... зачем тратить деньги...) либо экономят, а потом "ой караул, нам базу похерили", крайне сильно таким грешат почемуто ПХП-шники, лет 10 назад куда не плюнь, все поголовно видео-уроки эти грешили

@kpNemo · 29.05.2019, 05:01

mmm_corp, а как не его стороне можно создать иньекцию? Я честно говоря вообще не понимаю, что можно подсунуть в его текст бокс что бы что-то выполнить. Кавычки сьедять же всё как реальный текстовый параметр, нет?

@mmm_corp · 29.05.2019, 07:01

Сообщение от kpNemo

mmm_corp, а как не его стороне можно создать иньекцию? Я честно говоря вообще не понимаю, что можно подсунуть в его текст бокс что бы что-то выполнить. Кавычки сьедять же всё как реальный текстовый параметр, нет?

C#
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text.RegularExpressions;
 
namespace Rextester
{
    public class Program
    {
        public static void Main(string[] args)
        {
            //Your code goes here
            var s = "1'; DROP TABLE USERS; Select '1";
            var convertQuery = string.Format(@"SELECT * FROM users WHERE account = '{0}'", s);
            Console.WriteLine(convertQuery);
        }
    }
}

выполнит:

SQL
1
SELECT * FROM users WHERE account = '1'; DROP TABLE USERS; SELECT '1'

легко и просто

@kpNemo · 29.05.2019, 21:21

Ничего себе, я за 9 лет опыта работы никогда над таким не задумывался. Спасибо вам большое, открыли глаза на суть вещей.

@Sterben124 · 29.05.2019, 21:42 **[ТС]**

kpNemo, НЕ зря создал тему)

@mmm_corp · 29.05.2019, 22:54

Сообщение от kpNemo

Ничего себе, я за 9 лет опыта работы никогда над таким не задумывался. Спасибо вам большое, открыли глаза на суть вещей.

Да пожалуйста. Ну это какраз то о чем я и писал, что видеоуроки клепают кто попало и потом с этим багажом "знаний" идут на работу, к щастью у меня еще с 2005 года почти первая работа была с серозными требованиями безопасности именно на MSSQL 98/2000. Если у вас такой оказался мегапробел мягко говоря, то срочно изучайте что такое юзеры, группы, RowSecurity, вюхи, хранимки и как оркестрировать права доступа. В идеале должно быть так: делаете базу данных открытую в интернет, даже даете возможность другим подключится к ней под своим логином и паролем прямо к БД, и он сможет в ней делать только то что позволите, вплоть до выполнения SQL. Просто приложение - которое только прячет это... даже както смешно для С# об этом говорить... это не защита. мало малюсенький подкованный кодер запросто вскроет базу и исходники.

У меня вот напр. другая проблема, решил полностью свалить с фриланса и пойти на постоянку, а меня как пацана гоняют тестовыми заданиями и теорией, которую я в глаза то толком не видел, потому что боевой опыт гораздо важнее... а нет... ждут хомячка с дипломом))) ну и бред.... вам случайно ДБ, делфи/питониста в команду не нужно? Надоело уже резюме рассылать, походу его итак не читают)))

@kpNemo · 30.05.2019, 07:59

mmm_corp, отписал в личку. А тут уже потихоньку уходим в оффтоп.

Новые блоги и статьи Все статьи Все блоги /
Учёным и волонтёрам проекта «Einstein@home» удалось обнаружить четыре гамма-лучевых пульсара в джете Млечного Пути Programma_Boinc 01.01.2026 Учёным и волонтёрам проекта «Einstein@home» удалось обнаружить четыре гамма-лучевых пульсара в джете Млечного Пути Сочетание глобально распределённой вычислительной мощности и инновационных. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .
Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .

@Semen-Semenich 5220 / 3468 / 1172 Регистрация: 21.03.2016 Сообщений: 8,294
	28.05.2019, 12:13
	Sterben124, спросите в разделе по C# 0

@Sterben124 0 / 0 / 0 Регистрация: 08.01.2019 Сообщений: 46
	28.05.2019, 15:46 [ТС]
	Спасибо вам, но я решил проблему. tooru, хорошо. mmm_corp, индусы) 0

@Lexeq 1151 / 743 / 483 Регистрация: 21.01.2014 Сообщений: 1,903
	28.05.2019, 17:39
	Sterben124, достаточно IsNullOrWhiteSpace, IsNullOrEmpty тут лишнее 0

@kpNemo 14 / 13 / 6 Регистрация: 21.01.2015 Сообщений: 150
	28.05.2019, 18:26
	mmm_corp, а как её получить? Слышал про такое понятие, но что плохого в данном запросе? 0

@kpNemo 14 / 13 / 6 Регистрация: 21.01.2015 Сообщений: 150
	28.05.2019, 20:22
	mmm_corp, ознакомился, не совсем понимаю принцип защиты от таких вещей. Что вообще мешает взять любому злоумышленнику рефлектор, или деобфускатор, или перехватить формируемые sql-запросы, или даже дизасемблировать код, выдернув в отладке код формирования sql-запроса? Ещё ни разу не встречал коммерческих приложений на C#, которые бы не удалось мало-того получить исходные коды, так во многих случаях ещё и поменять их. А я не какой-то там супер-хацкер-взломщик-злоумышленник, а обычный такой средненький работяга. Ещё интересный факт, мой хороший друг работает как раз разрабом в одном довольно крупном интернет-казино, там у них всё на микросервисах построено, и самое интересное - у них тоже не слышно об этих экранированиях, а вся валидация происходит на серверной части, и, тьфу-тьфу-тьфу - пока не взломали. И всё-таки я не понял что у него неверно, параметр в скобочках, поидее он будет восприниматься как параметр и вернёт null. 0

@mmm_corp 103 / 91 / 32 Регистрация: 30.05.2015 Сообщений: 594
	28.05.2019, 22:27
	параметр в скобках это просто место куда будет засунут нулевой параметр, не более того экранирование на строне сервера - ок, нет проблем, я же не буду разбиратся кто чем проксирует перед бэкендом, хотя по хорошему был бы я босом, то за такое всеравно по рукам надавал) а еще лучше, если сервис серйозный и баблозависимый, то вообще препочитаю переход на вюхи и хранимки, облепить все это RowSecurity, и спать спокойно вы поймите, не взламали - ок, отлично, взламали - поздно метатся, уже милион раз видел эту ситуацию, сначала либо ленятся программисты (веди итак работает, а тупые манагеры не желают вникать что такое тестинг, тексты-кейсы и пр... , итак сойдет... зачем тратить деньги...) либо экономят, а потом "ой караул, нам базу похерили", крайне сильно таким грешат почемуто ПХП-шники, лет 10 назад куда не плюнь, все поголовно видео-уроки эти грешили 2

@kpNemo 14 / 13 / 6 Регистрация: 21.01.2015 Сообщений: 150
	29.05.2019, 05:01
	mmm_corp, а как не его стороне можно создать иньекцию? Я честно говоря вообще не понимаю, что можно подсунуть в его текст бокс что бы что-то выполнить. Кавычки сьедять же всё как реальный текстовый параметр, нет? 0

@kpNemo 14 / 13 / 6 Регистрация: 21.01.2015 Сообщений: 150
	29.05.2019, 21:21
	Ничего себе, я за 9 лет опыта работы никогда над таким не задумывался. Спасибо вам большое, открыли глаза на суть вещей. 0

@Sterben124 0 / 0 / 0 Регистрация: 08.01.2019 Сообщений: 46
	29.05.2019, 21:42 [ТС]
	kpNemo, НЕ зря создал тему) 0

@kpNemo 14 / 13 / 6 Регистрация: 21.01.2015 Сообщений: 150
	30.05.2019, 07:59
	mmm_corp, отписал в личку. А тут уже потихоньку уходим в оффтоп. 0