フォームに導入されたユーザーとパスワードがSQLデータベースに存在するかどうかを調べる

Question

最初に投稿してください。まず、このサイトの存在を感謝します。

今私は、ユーザーのログインが必要なプロジェクト（C＃）を作っています。プロファイルはSQLベースに格納されており、ログインを許可するには資格情報（ユーザー/パス）が正しいかどうかを確認する必要があります。

私は非常にSQLを理解していますので、間違いがないようにしてください。

フォームは非常にうまく動作しています。何がうまくいかないのは、私のデータベースのデータチェックです。

パブリックブールValidacaoLogin（文字列のユーザー、文字列のパス）

 cn.Open(); 
     cmd = new SqlCommand("select * from BDPerfil left join BDPerfilTecnico on BDPerfil.USER = BDPerfilTecnico.USER where BDPerfil.USER = @USER;", cn); 
     cmd = new SqlCommand("select * from BDPerfil where NIF = '" + user + "' AND PASSWORD = '" + pass + "';", cn); 
     cmd.Parameters.AddWithValue("@USER", user); 
     cmd.Parameters.AddWithValue("@PASSWORD", pass); 
     dr = cmd.ExecuteReader(); 
     if (dr.HasRows) 
     { 
      while (dr.Read()) 
      { 
       if ("@USER" == user) 
       { 
        if ("@PASSWORD" == pass) 
         dr.Close(); 
        cn.Close(); 
        return true; 
       } 
      } 
     } 
      dr.Close(); 
      cn.Close(); 
      return false; 
    } 

私は別のプロファイルを格納するための2つのテーブルがあります：私は、フォームには、次の関数を呼び出すのログイン押したときに、BDPerfilTecnicoとBDPerfilAssistをので、私は自分の欲しいですBDPerfilAssistを使用する必要はありませんが、私のすべてのテストプロファイルはBDPerfilTecnico上にあるので、私はプログラムを両方とも（結合を通じて）チェックします。

ヘルプ？ ありがとうございます。

Answer 1

少なくとも、クエリのパラメータが必要です。私は期待しています：

cmd = new SqlCommand("select * from BDPerfil where NIF = @USER AND PASSWORD = @PASSWORD'", cn); 

クエリのパラメータを使用して適切なパスにいます。クエリ自体にそれらを必要とするだけです。

注：コードにも他の問題がある可能性があります。

Answer 2

結果は、変数drに格納され、テーブル内の列の内容によって異なります。 *の代わりに、必要なテーブルの列、つまりユーザー、パスワードをリストする必要があります。次に、dr変数を使用してdr.getString（0）やpasswordのdr.getString（1）などの文を使用してこれらの値を取得できます。ユーザーとパスワードの変数は、コード内のクエリによって変更されることはありません。また、リテラル文字列 "@user"と "@password"はクエリから出てこないので、なぜあなたがそれらと比較するのかわかりません。代わりに、あなたは何かのようにしたいです。 If（dr.getString（0）== user）

データベースのパスワードを暗号化してください。ユーザーが入力した内容を暗号化し、暗号化されたパスワードと暗号化されたパスワードを比較することができます。

幸運