Discussion :

[arngrimur]

Bonjour,
Je suis débutant en ASP.net
Je cherche à faire pour le moment une authentification de l'utilisateur et j'en suis là :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
        protected void BtnSubmit_Click(object sender, EventArgs e)
        {
            Authentifier(UserName.Text, Password.Text);
 
        }
        private void Authentifier(string strUtilisateur, string strMotDePasse)
        {
            DataTable dt = new DataTable();
 
            dt = executeQuery("SELECT * FROM Utilisateur WHERE login='" + strUtilisateur + "'");
 
 
 
 
        }
        public static DataTable executeQuery(string req) // Requête SQL
        {
            SqlConnection oSQLConn = new SqlConnection();
            oSQLConn.ConnectionString = ConfigurationManager.ConnectionStrings["DB_CRACQConnectionString"].ToString();
            SqlCommand cmd = new SqlCommand();
 
            cmd.CommandText = req;
            cmd.Connection = oSQLConn;
            oSQLConn.Open();
 
            DataTable dt = new DataTable();
            SqlDataReader dr = cmd.ExecuteReader();
            dt.Load(dr);
            oSQLConn.Close();
            return dt;
        }
    }

Via la requête je récupère tout ce qui correspond au login entré par l'utilisateur mais je n'arrive pas à faire le nécessaire pour vérifier que son password correspond bien ...
de l'aide sera la bienvenue
merci à vous d'avance

[Nicolas Esprit]

Bonjour,

Tu cherches à réinventer la roue. ASP.NET fournit de base depuis au moins la version 2.0 (donc 2005) tous les mécanismes pour gérer l'authentification et les authorisations. Il existe en plus des articles sur Developpez qui présentent ASP.NET Membership, Profile, etc.

Sans compter qu'ASP.NET te permet de créer toutes les tables SQL nécessaire, ou d'utiliser tes propres tables avec un Membership Provider personnalisé (il y a également un article là dessus).

Je t'invite donc à consulter les différents articles. Si tu rencontres un problème dans leur mise en œuvre, n'hésite pas à revenir poster ici.

En espérant t'avoir aidé.

[Robotech]

Ta réponse :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
"SELECT COUNT(Id) FROM Utilisateur WHERE login='" + strUtilisateur + "' and mdp='"+MDP+"'";

et pour l’exécution de ta requête utilise la méthode ExecuteScalar appartenant à la classe SqlCommand

si ta requête renvoi 0 c'est que le compte n'existe pas si 1 ben....si !
bonne continuation

[Jean-Michel Ormes]

Bonjour,

Je t'invite à suivre les conseils de Nicolas. Ta façon de faire n'est pas du tout la bonne, surtout quand il s'agit d'authentification.

Ta réponse :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
"SELECT COUNT(Id) FROM Utilisateur WHERE login='" + strUtilisateur + "' and mdp='"+MDP+"'";

et pour l’exécution de ta requête utilise la méthode ExecuteScalar appartenant à la classe SqlCommand

si ta requête renvoi 0 c'est que le compte n'existe pas si 1 ben....si !
bonne continuation

Mon dieu !

C'est un très mauvais conseil ça. Un utilisateur mal-intentionné peut en un rien de temps faire de l'injection SQL avec cette solution. Je vous invite à lire cet article sur les requêtes paramétrées pour mieux cerner les risques de ce genre de choses.

[SaumonAgile]

C'est un très mauvais conseil ça. Un utilisateur mal-intentionné peut en un rien de temps faire de l'injection SQL avec cette solution. Je vous invite à lire cet article sur les requêtes paramétrées pour mieux cerner les risques de ce genre de choses.

Le principal problème reste tout de même le mot de passe en clair dans la requête

[Nicolas Esprit]

Le principal problème reste tout de même le mot de passe en clair dans la requête

Sans parler de la ré-ré-réinvention de la roue

[Jean-Michel Ormes]

Le principal problème reste tout de même le mot de passe en clair dans la requête

Sans parler de la ré-ré-réinvention de la roue

Oui, je suis d'accord avec vous. Cela dit, autant lui insuffler tout de suite les bonnes habitudes.

[Robotech]

Bonjour,

Je suis inscrit à ce site depuis très peu de temps et j'ai déjà systématiquement vu des gens ne pas utiliser les requêtes paramétrés
alors je préfères concentrer ma réponse sur la question et il manqué bien un count() pour que son code puisse fonctionner,
maintenant je suis d'accord avec ce qui à été dit ,mais il n'est pas correct de dire que ma réponse n'est pas la bonne puisque sa question n’était pas sur le passage de paramètre

En clair par rapport à nicolas j'ai juste debugé son code sans lui dire ce qu'il aurait du faire ou pas