Asp.net код-за памылкі ўваходу ў сістэму?

Я атрымліваю паведамленне пра памылку, калі яно вызначальнае, ці з'яўляецца ілжывым або няма імя карыстальніка. Я выкарыстоўваю asp.net у кодзе-ззаду. Ён вылучаны ніжэй. Калі хто-то можа сказаць мне, што памылка ў тым, што было б дзіўна!

protected void Login_Authenticate(object sender, AuthenticateEventArgs e)
        {
            Boolean blnresult;
            blnresult = false;

            **blnresult = Authentication(Login.UserName);**

            if (blnresult == true)
            {
                e.Authenticated = true;
                Session["Check"] = true;
            }
            else

                e.Authenticated = false;
        }

        private bool Authentication(TextBox textBox)
        {
            throw new NotImplementedException();
        }

        protected static Boolean Authentication(string Username, string Password)
        {
            string sqlstring;
            sqlstring = "SELECT userID FROM import_log.dbo.user_verification WHERE userID =" + Username + "";

            System.Data.SqlClient.SqlConnection con = new System.Data.SqlClient.SqlConnection("Data Source = ietm-fwb-sql1; Initial Catalog = import_log; Persist Security Info = True; User ID = sa; Password = fwbadmin");

            System.Data.SqlClient.SqlCommand comm = new System.Data.SqlClient.SqlCommand(sqlstring, con);

            System.Data.SqlClient.SqlDataReader reader;

            con.Open();

            reader = comm.ExecuteReader();

            if (reader.Read())
                return true;
            else
                return false;
        }
    }
}
0
шкада, што гэта значыць? Я новенькая asp.net, і я атрымаў гэта ад дапамогі хтосьці даў мне.
дададзена аўтар compucrazy, крыніца
Там няма ніякага апраўдання для напісання SQL з выкарыстаннем канкатэнацыі. Падрыхтоўка да Pwnage. xkcd.com/327
дададзена аўтар Byron Whitlock, крыніца
Вы разумееце, што вы выклікаеце метад, які кідае NotImplementedException?
дададзена аўтар Erno de Weerd, крыніца
Вы адкрылі сябе для ін'екцыі SQL атакі - перш чым рабіць што-небудзь, я б выправіць гэта :-) Гэты артыкул робіць добрую працу, тлумачачы, што гэта такое, і як пазбегнуць гэтага: weblogs.asp.net/scottgu/archive/2006/ 09/30/& hellip;
дададзена аўтар Justin Beckwith, крыніца
Акрамя таго, было б вельмі карысна, калі вы выклалі памылку вы атрымліваеце.
дададзена аўтар Justin Beckwith, крыніца

адказаў няма

0