c mysql网络验证例子

C 语言使用 MySQL 进行网络验证示例

在现代网络应用中，用户身份验证是一个关键功能，本文将介绍如何使用 C 语言结合 MySQL 数据库来实现一个简单的网络验证系统，这个例子将涵盖从连接到 MySQL 数据库、执行查询到处理结果的整个过程。

环境准备

1、安装 MySQL：确保你的系统中已经安装了 MySQL 数据库，你可以从[MySQL 官方网站](https://dev.mysql.com/downloads/)下载并安装。

2、创建数据库和表：在 MySQL 中创建一个名为user_auth 的数据库，并在其中创建一个名为users 的表，用于存储用户信息。

    CREATE DATABASE user_auth;
    USE user_auth;
    CREATE TABLE users (
        id INT AUTO_INCREMENT PRIMARY KEY,
        username VARCHAR(50) NOT NULL,
        password VARCHAR(50) NOT NULL
    );

3、插入测试数据：为了测试验证功能，我们可以向users 表中插入一些测试数据。

    INSERT INTO users (username, password) VALUES ('testuser', 'password123');

4、安装 MySQL 开发库：在 Linux 系统中，可以使用以下命令安装 MySQL 开发库（以 Ubuntu 为例）：

    sudo apt-get install libmysqlclient-dev

C 程序实现

以下是一个完整的 C 程序示例，它连接到 MySQL 数据库，验证用户名和密码是否匹配。

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <mysql/mysql.h>
// 定义数据库连接参数
#define DB_HOST "localhost"
#define DB_USER "root"
#define DB_PASS "your_password"
#define DB_NAME "user_auth"
// 函数声明
void finish_with_error(MYSQL con);
int verify_user(MYSQL con, const char username, const char password);
int main() {
    MYSQL con = mysql_init(NULL);
    if (con == NULL) {
        fprintf(stderr, "%s
", mysql_error(con));
        exit(1);
    }
    if (mysql_real_connect(con, DB_HOST, DB_USER, DB_PASS, DB_NAME, 0, NULL, 0) == NULL) {
        finish_with_error(con);
    }
    char username[50];
    char password[50];
    printf("Enter username: ");
    scanf("%49s", username);
    printf("Enter password: ");
    scanf("%49s", password);
    if (verify_user(con, username, password)) {
        printf("Authentication successful!
");
    } else {
        printf("Authentication failed!
");
    }
    mysql_close(con);
    exit(0);
}
void finish_with_error(MYSQL con) {
    fprintf(stderr, "%s
", mysql_error(con));
    mysql_close(con);
    exit(1);
}
int verify_user(MYSQL con, const char username, const char password) {
    char query[256];
    sprintf(query, "SELECT password FROM users WHERE username='%s'", username);
    if (mysql_query(con, query)) {
        finish_with_error(con);
    }
    MYSQL_RES result = mysql_store_result(con);
    if (result == NULL) {
        finish_with_error(con);
    }
    MYSQL_ROW row = mysql_fetch_row(result);
    mysql_free_result(result);
    if (row != NULL && strcmp(row[0], password) == 0) {
        return 1; // 验证成功
    } else {
        return 0; // 验证失败
    }
}

代码说明

1、初始化和连接数据库：使用mysql_init 初始化 MySQL 连接句柄，然后使用mysql_real_connect 连接到数据库，如果连接失败，调用finish_with_error 函数输出错误信息并退出程序。

2、获取用户输入：提示用户输入用户名和密码，并将其存储在字符数组中。

3、验证用户：调用verify_user 函数执行 SQL 查询，检查用户名是否存在以及密码是否正确，该函数返回 1 表示验证成功，返回 0 表示验证失败。

4、错误处理：finish_with_error 函数用于处理 MySQL 相关的错误，输出错误信息并关闭连接。

5、释放资源：在程序结束前，关闭 MySQL 连接并退出程序。

FAQs

问题 1：如何防止 SQL 注入攻击？

答：在上述示例中，直接使用用户输入构建 SQL 查询字符串存在 SQL 注入风险，为了防止 SQL 注入攻击，应该使用预处理语句（Prepared Statements），在 C 语言中，可以使用mysql_stmt_prepare 等函数来执行预处理语句，这样可以有效避免 SQL 注入攻击。

MYSQL_STMT stmt;
stmt = mysql_stmt_init(con);
if (!stmt) {
    finish_with_error(con);
}
if (mysql_stmt_prepare(stmt, "SELECT password FROM users WHERE username=?", -1)) {
    finish_with_error(con);
}
mysql_stmt_bind_param(stmt, "s", &username);
if (mysql_stmt_execute(stmt)) {
    finish_with_error(con);
}
MYSQL_RES result = mysql_stmt_get_result(stmt);
if (result == NULL) {
    finish_with_error(con);
}
MYSQL_ROW row = mysql_fetch_row(result);
mysql_free_result(result);
mysql_stmt_close(stmt);

通过这种方式，将用户输入作为参数绑定到预处理语句中，而不是直接拼接到查询字符串中，从而避免了 SQL 注入的风险。

问题 2：如何加密用户密码？

答：在实际应用中，不应该以明文形式存储用户密码，应该使用哈希算法对密码进行加密存储，例如使用 MD5、SHA-256 等哈希函数，在验证时，对用户输入的密码进行相同的哈希运算，然后将结果与数据库中存储的哈希值进行比较。

#include <openssl/sha.h>
void hash_password(const char password, char hashed_password) {
    unsigned char hash[SHA256_DIGEST_LENGTH];
    SHA256((unsigned char )password, strlen(password), hash);
    for (int i = 0; i < SHA256_DIGEST_LENGTH; i++) {
        sprintf(hashed_password + (i  2), "%02x", hash[i]);
    }
}

在存储密码时，将密码进行哈希处理后存储到数据库中，在验证时，对用户输入的密码进行同样的哈希处理，然后与数据库中存储的哈希值进行比较，这样即使数据库被泄露，用户的密码也不会以明文形式暴露。