Опасно
Похоже, вы храните пароли в виде простого текста в базе данных.
Это крайне плохая идея.
Никогда не храните пароли в база данных.
Вместо этого используйте соленые хэши.
См. Как хешировать строку с помощью Delphi?
В вашем коде есть еще пара проблем:
- Вы не гарантируете, что в строковой сетке достаточно строк для хранения ваших данных.
- Вы не переходите к следующей строке запроса.
- Вы открываете запрос до открытия соединения.
- Вы используете
FieldByName
внутри цикла, это будет очень медленно.
Простое решение
Используйте DBGrid.
Если вы настаиваете на использовании StringGrid
, я предлагаю провести рефакторинг кода следующим образом:
var
i,a:Integer;
FUsername, FPasswordHash, Fid, FSalt: TField;
begin
if not(MySQl55Connection.Active) then MySql55Connection1.Open;
SqlQuery1.SQL.Text:= 'SELECT * FROM users'; //only use backticks on reserved words.
SqlQuery1.Open;
FUsername:= SqlQuery1.FieldByName('Username');
//do not use plain text passwords!!
FPasswordHash:= SQLQuery1.FieldByName('SaltedPasswordHashUsingSHA256');
FId:= SqlQuery1.FieldByName('id');
FSalt:= SQLQuery1.FieldByName('SaltUsingCryptoRandomFunction');
a:= StringGrid1.FixedRowCount;
if SQLQuery1.RecordCount = -1 then StringGrid1.RowCount = 100 //set it to something reasonable.
else StringGrid1.RowCount:= a + SQLQuery1.RecordCount;
//SQLQuery1.DisableControls
try
i:= StringGrid1.FixedRowCount;
while not(SQLQuery1.EOF) do begin
if i >= StringGrid1.RowCount then StringGrid1.RowCount:= i;
StringGrid1.Cells[0,i]:= FUserName.AsString;
StringGrid1.Cells[1,i]:= FPasswordHash.AsString;
StringGrid1,Cells[3,i]:= FSaltInHex.AsString;
StringGrid1.Cells[2,i]:= FId.AsString;
SQLQuery1.Next; //get next row.
Inc(i);
end; {while}
finally
//just in case you want to do endupdate or close the SQLQuery or do SQLQuery1.EnableControls
end;
end;
Пример базовой защиты
Вот как хешировать пароль:
Загрузите Lockbox3
.
Поместите THash в свою форму и установите для свойства hash
значение _5 _.
Используйте следующий код для получения результата хеширования.
function StringToHex(const input: string): AnsiString;
var
NumBytes, i: Integer;
B: Byte;
W: word;
Wa: array[0..1] of byte absolute W;
begin
NumBytes := input.length * SizeOf(Char);
SetLength(Result, NumBytes * 2);
for i := 1 to NumBytes do begin
if SizeOf(Char) = 1 then begin
B:= Byte(input[i]);
BinToHex(@B, @Result[(I*2)+1], 1);
end else begin
W:= Word(input[i]);
BinToHex(@Wa[0], @Result[(i*4+0)],1);
BinToHex(@Wa[1], @Result[(i*4+1)],1);
end; {else}
end;
end;
function TForm1.HashPassword(var Password: string; const Salt: string): string;
var
KillPassword: pbyte;
begin
Hash1.HashString(StringToHex(Password)+StringToHex(Salt));
KillPassword:= PByte(@Password[1]);
FillChar(KillPassword^, Length(Password)*SizeOf(Char), #0); //remove password from memory.
Password:= ''; //Now free password.
end;
function GenerateSalt( ByteCount: integer = 32): string;
var
Buffer: TMemoryStream;
begin
Buffer := TMemoryStream.Create;
try
Buffer.Size := ByteCount;
RandomFillStream( Buffer);
result := Stream_to_Base64( Buffer);
finally
Buffer.Free
end;
end;
Это минимальный объем работы, который вам может сойти с рук, пока все еще остается в безопасности.
Не думайте, что ваши пароли не важны, потому что у вас просто база данных игрушек, потому что люди повторно используют пароли и, таким образом, ваши пароли игрушек в конечном итоге становятся те же пароли, которые используются для онлайн-банкинга и тому подобное.
Люди ленивы ....
person
Johan
schedule
12.04.2016