#asp.net #.net #code-behind
#asp.net #.net #из-за кода
Вопрос:
Я получаю сообщение об ошибке, когда он определяет, является ли имя пользователя ложным или нет. Я использую asp.net in code-behind. Это выделено ниже. Если кто-нибудь может сказать мне, в чем ошибка, это было бы потрясающе!
protected void Login_Authenticate(object sender, AuthenticateEventArgs e)
{
Boolean blnresu<
blnresult = false;
**blnresult = Authentication(Login.UserName);**
if (blnresult == true)
{
e.Authenticated = true;
Session["Check"] = true;
}
else
e.Authenticated = false;
}
private bool Authentication(TextBox textBox)
{
throw new NotImplementedException();
}
protected static Boolean Authentication(string Username, string Password)
{
string sqlstring;
sqlstring = "SELECT userID FROM import_log.dbo.user_verification WHERE userID =" Username "";
System.Data.SqlClient.SqlConnection con = new System.Data.SqlClient.SqlConnection("Data Source = ietm-fwb-sql1; Initial Catalog = import_log; Persist Security Info = True; User ID = sa; Password = fwbadmin");
System.Data.SqlClient.SqlCommand comm = new System.Data.SqlClient.SqlCommand(sqlstring, con);
System.Data.SqlClient.SqlDataReader reader;
con.Open();
reader = comm.ExecuteReader();
if (reader.Read())
return true;
else
return false;
}
}
}
Комментарии:
1. Нет оправдания для написания SQL с использованием конкатенации. Подготовьтесь к pwnage. xkcd.com/327
2. извините, что это значит? Я совершенно новичок в asp.net и я получил это от помощи, которую мне кто-то оказал.
3. Вы открыли себя для атаки с использованием SQL-инъекций — прежде чем что-либо делать, я бы это исправил
В этой статье хорошо объясняется, что это такое и как этого избежать: weblogs.asp.net/scottgu/archive/2006/09/30 /…
4. Кроме того, было бы очень полезно, если бы вы опубликовали ошибку, которую вы получаете.
5. Вы понимаете, что вызываете метод, который выдает исключение NotImplementedException?