login en c# avec connection a une base de données ssl serveur

Version imprimable

Bonjour, ma question est la suivant j'aimerai créer une page de login qui vérifie les information saisie dans le textbox dans une base de donnée sql serveur et ensuite redirige l'utilisateur vers une page en fonction de son nom d'utilisateur.
mais j'y arrive pas si quelqu'un aurai une solution.
merci d'avance

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
connection = new SqlConnection("Data Source=mabase;Initial Catalog=BDD;User ID=sa;Password=password");
            query = (" SELECT Nom, Password FROM [marine_utilisateur] WHERE Nom='"+TextBoxNom.Text+"'AND Password= '"+TextBoxPassword.Text+ "'");
            command = new SqlCommand(query, connection);
            connection.Open();
            reader = command.ExecuteReader();
            string pass, user;
            user = TextBoxNom.Text;
            pass = TextBoxPassword.Text;
            while (reader.Read())
            {
                if (reader["Nom"].ToString() != TextBoxNom.Text && reader["Password"].ToString() != TextBoxPassword.Text)
                {
                    Label1.Text = "Nom utilisateur ou mot de passe invalide";
                }
 
 
                else
                {
                    if (reader["Nom"].ToString() == "admin" && reader["Password"].ToString() == "******")
 
                        Response.Redirect("~/PageAdmin.aspx");
                    else
                    {
                        if (reader["Nom"].ToString() == TextBoxNom.Text && reader["Password"].ToString() == TextBoxPassword.Text)
                        {
                            Response.Redirect("~/Default.aspx");
                        }
 
                    }
                }
 
            }
            connection.Close();

20/02/2012, 18h40
GuruuMeditation

Juste un truc un peu bizarre, tu fais une requête sur nom et password, puis tu regardes si le résultat renvoyé est bien ce user et password. C'est inutile, regarde plutôt si le résultat de la requête est vide.
20/02/2012, 18h51
Er3van

Et pis si on peut éviter les injections c'est mieux...
Passe par des requêtes paramétrées c'est plus sûr !
20/02/2012, 19h03
eseuk

Citation:

Envoyé par GuruuMeditation

Juste un truc un peu bizarre, tu fais une requête sur nom et password, puis tu regardes si le résultat renvoyé est bien ce user et password. C'est inutile, regarde plutôt si le résultat de la requête est vide.

Merci d'avoir répondu
je suis débutant en programmation donc j'ai pas compris comment vérifier si la requête est vide du moins la marche a suivre
et merci pour le liens je vais un peu m'instruire =)
20/02/2012, 19h05
Bluedeep

Et si dans UserName je saisis :

Citation:

X' or 1=1 or Nom=

Puis dans password je saisis :

Citation:

or 1 = 1 or Nom='X

Il se passe quoi ?

Ou encore, dans password :

Citation:

'; delete [marine_utilisateur];

La réponse devrait t'inciter à chercher une autre solution ....(cf. la réponse de Erw3nsur les requêtes paramétrées).
20/02/2012, 19h16
eseuk

je pense avoir compris après avoir lus le tuto sur les requêtes paramétré je vais régler ça de suite.
j'aurai juste voulus savoir quel aurait été la meilleur méthode pour interroger ma base de données
je veux dire une sorte de boucle qui vérifie les informations dans la bases et log l'utilisateur en fonction du nom saisie
21/02/2012, 11h42
Jean-Michel Ormes

Citation:

Envoyé par eseuk

je pense avoir compris après avoir lus le tuto sur les requêtes paramétré je vais régler ça de suite.
j'aurai juste voulus savoir quel aurait été la meilleur méthode pour interroger ma base de données
je veux dire une sorte de boucle qui vérifie les informations dans la bases et log l'utilisateur en fonction du nom saisie

Il n'y a pas besoin de boucle.

Le mieux aurait été d'utiliser une procédure stockée en lui passant tes paramètres. Dans cette procédure stockée, tu fais une requête sur ta table d'utilisateurs. Si ta procédure ne te renvoie pas de résultat, c'est que les identifiants spécifiés sont incorrects.

Il y à pléthore de tutoriels qui traitent du sujet ;)

Citation:

Envoyé par eseuk

je pense avoir compris après avoir lus le tuto sur les requêtes paramétré je vais régler ça de suite.
j'aurai juste voulus savoir quel aurait été la meilleur méthode pour interroger ma base de données
je veux dire une sorte de boucle qui vérifie les informations dans la bases et log l'utilisateur en fonction du nom saisie

Comme dit, pas beson de boucle : tu veux juste vérfier que les données existent !

Tu peux faire quelque chose comme cela :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 SqlConnection connection = new SqlConnection("Data Source=mabase;Initial Catalog=BDD;User ID=sa;Password=password"); string query = " SELECT count(*) FROM [marine_utilisateur] WHERE Nom=@nom AND Password= @password"; SqlCommand command = new SqlCommand(query, connection); command.Parameters.Add("@nom", TextBoxNom.Text); command.Parameters.Add("@password", TextBoxPassword.Tex); connection.Open(); int result = (int)command.ExecuteScalar(); if(result > 0) { // contriole user/mot de passe OK } connection.Close();

21/02/2012, 21h49
eseuk

Merci d'avoir répondu et vos réponse m'ont permis de résoudre mon problème