Yazdığım panellerde (hala amatör olduğumu belirteyim) güvenlik açığı buldum.Bu da kullanıcı adını yazdıktan sonra '-- ile açıklama satırına çevirip şifre girmeye gerek kalmamasıydı.Bunun için textBoxdan direk sorguya geçmek yerine yani; sorgu="Select * from uye kullanıcı ad='+ textBox1.text +... gibi yapmak yerine parametre ile değer göndermeliyiz.Çalışan kod için de bunu gönderebilirim
SqlConnection con = new SqlConnection(Bağlantı Stringi);
con.Open();
SqlCommand sorgu = new SqlCommand("select * from Uye Where kullaniciad=@Kullanici and kullanicisifre=@Sifre", con);
sorgu.Parameters.AddWithValue("@Kullanici", txtad.Text);
sorgu.Parameters.AddWithValue("@Sifre", txtpw.Text);
SqlDataReader dr = sorgu.ExecuteReader();
if (dr.Read())
{
Session.Timeout = 360;
Response.Redirect("Admin/Default.aspx");
}
con.Close();
}
catch
{
Response.Write("Hata Var!!");
}
Hiç yorum yok:
Yorum Gönder