Discussion :

[eseuk]

Bonjour, ma question est la suivant j'aimerai créer une page de login qui vérifie les information saisie dans le textbox dans une base de donnée sql serveur et ensuite redirige l'utilisateur vers une page en fonction de son nom d'utilisateur.
mais j'y arrive pas si quelqu'un aurai une solution.
merci d'avance

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
connection = new SqlConnection("Data Source=mabase;Initial Catalog=BDD;User ID=sa;Password=password");
            query = (" SELECT Nom, Password FROM [marine_utilisateur] WHERE Nom='"+TextBoxNom.Text+"'AND Password= '"+TextBoxPassword.Text+ "'");
            command = new SqlCommand(query, connection);
            connection.Open();
            reader = command.ExecuteReader();
            string pass, user;
            user = TextBoxNom.Text;
            pass = TextBoxPassword.Text;
            while (reader.Read())
            {
                if (reader["Nom"].ToString() != TextBoxNom.Text && reader["Password"].ToString() != TextBoxPassword.Text)
                {
                    Label1.Text = "Nom utilisateur ou mot de passe invalide";
                }
 
 
                else
                {
                    if (reader["Nom"].ToString() == "admin" && reader["Password"].ToString() == "******")
 
                        Response.Redirect("~/PageAdmin.aspx");
                    else
                    {
                        if (reader["Nom"].ToString() == TextBoxNom.Text && reader["Password"].ToString() == TextBoxPassword.Text)
                        {
                            Response.Redirect("~/Default.aspx");
                        }
 
                    }
                }
 
            }
            connection.Close();

[GuruuMeditation]

Juste un truc un peu bizarre, tu fais une requête sur nom et password, puis tu regardes si le résultat renvoyé est bien ce user et password. C'est inutile, regarde plutôt si le résultat de la requête est vide.

[Er3van]

Et pis si on peut éviter les injections c'est mieux...
Passe par des requêtes paramétrées c'est plus sûr !

[eseuk]

Juste un truc un peu bizarre, tu fais une requête sur nom et password, puis tu regardes si le résultat renvoyé est bien ce user et password. C'est inutile, regarde plutôt si le résultat de la requête est vide.

Merci d'avoir répondu
je suis débutant en programmation donc j'ai pas compris comment vérifier si la requête est vide du moins la marche a suivre
et merci pour le liens je vais un peu m'instruire =)

[Bluedeep]

Et si dans UserName je saisis :

X' or 1=1 or Nom=

Puis dans password je saisis :

or 1 = 1 or Nom='X

Il se passe quoi ?

Ou encore, dans password :

'; delete [marine_utilisateur];

La réponse devrait t'inciter à chercher une autre solution ....(cf. la réponse de Erw3nsur les requêtes paramétrées).

[eseuk]

je pense avoir compris après avoir lus le tuto sur les requêtes paramétré je vais régler ça de suite.
j'aurai juste voulus savoir quel aurait été la meilleur méthode pour interroger ma base de données
je veux dire une sorte de boucle qui vérifie les informations dans la bases et log l'utilisateur en fonction du nom saisie

[Jean-Michel Ormes]

je pense avoir compris après avoir lus le tuto sur les requêtes paramétré je vais régler ça de suite.
j'aurai juste voulus savoir quel aurait été la meilleur méthode pour interroger ma base de données
je veux dire une sorte de boucle qui vérifie les informations dans la bases et log l'utilisateur en fonction du nom saisie

Il n'y a pas besoin de boucle.

Le mieux aurait été d'utiliser une procédure stockée en lui passant tes paramètres. Dans cette procédure stockée, tu fais une requête sur ta table d'utilisateurs. Si ta procédure ne te renvoie pas de résultat, c'est que les identifiants spécifiés sont incorrects.

Il y à pléthore de tutoriels qui traitent du sujet

[Bluedeep]

je pense avoir compris après avoir lus le tuto sur les requêtes paramétré je vais régler ça de suite.
j'aurai juste voulus savoir quel aurait été la meilleur méthode pour interroger ma base de données
je veux dire une sorte de boucle qui vérifie les informations dans la bases et log l'utilisateur en fonction du nom saisie

Comme dit, pas beson de boucle : tu veux juste vérfier que les données existent !

Tu peux faire quelque chose comme cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
SqlConnection connection = new SqlConnection("Data Source=mabase;Initial Catalog=BDD;User ID=sa;Password=password");
string query = " SELECT count(*) FROM [marine_utilisateur] WHERE Nom=@nom AND Password= @password";
SqlCommand command = new SqlCommand(query, connection);
command.Parameters.Add("@nom", TextBoxNom.Text);
command.Parameters.Add("@password", TextBoxPassword.Tex);
connection.Open();
int result = (int)command.ExecuteScalar();
if(result > 0)
{
	// contriole user/mot de passe OK
}
connection.Close();

[eseuk]

Merci d'avoir répondu et vos réponse m'ont permis de résoudre mon problème