我有一个使用 ASP.net 成员(member)资格提供程序的 asp.net 站点。数据库中的每个评论、条目等均由用户 ID 跟踪。
由于MS不提供更改用户名的方法,我在数据库的“users”表中找到了userNAME,并且只有1个地方出现了用户名。
我的问题是,
提供允许用户编辑自己的用户名的“编辑个人资料”页面是否安全。当然,我会通过直接更改数据库中的“用户名”值来在后台处理此更改。
这有什么缺点吗?我创建并修改了一些测试帐户,似乎没问题,我只是想知道在将其投入生产之前是否有任何已知的负面影响。
最佳答案
cptScarlet 的链接很好,但是如果不需要,我鄙视使用存储过程,并且只要有可能我就倾向于使用 Entity Framework 。以下是我使用 EF 4.0 和 .NET 4.0 更改用户名的操作:
- 右键单击项目 -> 添加新项 -> ADO.NET 实体数据模型
- 为其指定一个正确的名称,我选择“MembershipModel.edmx”并点击“添加”
- 选择从数据库生成,然后单击“下一步”
- 添加与“aspnetdb”数据库(ASP.NET 成员数据库)的连接
- 给它一个合适的名称,我选择“MembershipEntities”
- 点击“下一步”
- 深入查看表并选择 aspnet_Users
- 将模型命名空间更改为 MembershipModel
- 点击“完成”
现在您可以添加代码来创建 EF 对象上下文并修改数据库:
public void ChangeUserName(string currentUserName, string newUserName)
{
using (var context = new MembershipEntities())
{
// Get the membership record from the database
var currentUserNameLowered = currentUserName.ToLower();
var membershipUser = context.aspnet_Users
.Where(u => u.LoweredUserName == currentUserNameLowered)
.FirstOrDefault();
if (membershipUser != null)
{
// Ensure that the new user name is not already being used
string newUserNameLowered = newUserName.ToLower();
if (!context.aspnet_Users.Any(u => u.LoweredUserName == newUserNameLowered))
{
membershipUser.UserName = newUserName;
membershipUser.LoweredUserName = newUserNameLowered;
context.SaveChanges();
}
}
}
}
注意:我没有在代码中考虑应用程序 ID。我通常只有一个应用程序使用 ASP.NET 成员资格数据库,因此如果您有多个应用程序,则需要考虑到这一点。
关于ASP.NET 用户名更改,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1229730/