簡単なログインページの作成方法は？

Question

SQLデータベースで使用したユーザー名とパスワードだけを登録せずに、簡単なログインページを作成したいと思います。これは私が今button1に書いたものです：

string connection_string = "Path to database"; 
SqlConnection connect = new SqlConnection(); 
connect.ConnectionString = connection_string; 
connect.Open(); 
string sql = "Select * FROM Register where username=@username and password=@password"; 
SqlCommand 1 = new SqlCommand("username",textbox1User.text); 
SqlCommand 2 = new SqlCommand("password",textbox2pass.text); 

これは私が今持っているものです。私はログインページの残りの部分を行う必要があり、値がOKならば、私はページにリダイレクトされます。しかし、私はまた、ファイルを入力するだけで他のユーザーがアクセスできないようにページを保護する方法を知る必要があります。だから私はログインする場合にのみ動作するはずです。

Answer 1

まず、SQLにパラメータを使用したいことをお祝いします。多くの初心者はこれをしないので、ひどいSQLインジェクション攻撃につながります。

第2に、本当にあなたのパスワードをハッシュする必要があります。プレーンテキストのパスワードは決して保管しないでください。パスワードを正確にハッシュすることは、多くの議論の問題であり、コードを複雑にするので、私はこれを今のところ別に設定します。

今、実際の質問に移動します。まず、コードにいくつか間違いがあります。そのことを

（それはに入るために良い習慣だ使用方法の詳細のためhttp://msdn.microsoft.com/en-us/library/yh598w02.aspxを参照してください。）

using(SqlConnection conn = new SqlConnection("connection string")) 
{ 
    SqlCommand cmd = new SqlCommand("Select * FROM Register where username=@username and password=@password", conn); 
    cmd.Parameters.AddWithValue("@username", textbox1User.Text); 
    cmd.Parameters.AddWithValue("@password", textbox2User.Text); 
} 

：最初に何を持っていることは、この線に沿ってより多くする必要があり、パラメータが間違って作成されています簡単ログインを検証するために、行って、あなたはあなたのSqlCommandオブジェクトのためにこのような何かを行うことができます。

0：

SELECT COUNT(*) FROM Register WHERE username=@username AND password=@password 

をそしてパラメータを追加した後、あなたのコードにこれを追加しますが、using上の閉じ括弧の前に厳密に1人のユーザーが見つかった場合

conn.Open();  
int result = Convert.ToInt32(cmd.ExecuteScalar()); 

resultは（あなたが同じユーザー名を持つ複数のユーザーを持つことができる場合は、この範囲外の他の問題がある）0にユーザーが見つからなかった場合、または1になります。

ここで、アクセス制御の実施については、http://support.microsoft.com/kb/301240をご覧ください。興味のある用語は、「フォーム認証」と「web.config認証」です。提供されたリンクのコードサンプルは少し古くなっていますが、一般に、あなたが求めていることを達成する方法を示しています。

これで、正しいトラックをスタートさせることができます。

Answer 2

また、HTACCESSを使用して内容やパスワードを制御して保護することもできます。これは、SQLとパスワードの保存を心配する必要がないため、最も簡単な方法です。