第一次用asp.net开发,后台登陆以及安全,大家过来看看安全不。

Cnaspnet 2007-03-13 09:05:05
public partial class EduAdmin : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
if (!IsPostBack)
{
Session.Clear();
}
}
protected void Button2_Click(object sender, EventArgs e)
{
TextBox1.Text = "";
TextBox2.Text = "";
}
private string ClearInputString(string inputstring, int maxlength)
{
StringBuilder sb = new StringBuilder();
if ((inputstring != null) && (inputstring != string.Empty))
{
inputstring = inputstring.Trim();
if (inputstring.Length > maxlength)
{
inputstring = inputstring.Substring(0, maxlength);
}
for (int i = 0; i < inputstring.Length; i++)
{
switch (inputstring[i])
{
case ' ': sb.Append(""); break;
case '"': sb.Append(""); break;
case '>': sb.Append(""); break;
case '<': sb.Append(""); break;
default: sb.Append(inputstring[i]); break;
}
}
sb.Replace("'", "");
}
return (sb.ToString());
}
protected void Button1_Click(object sender, EventArgs e)
{
if (Session != null)
{
JWC_Sql Exsql = new JWC_Sql();
Exsql.Open();
string coluser=TextBox1.Text.ToString();
string colpwd=FormsAuthentication.HashPasswordForStoringInConfigFile((TextBox2.Text.ToString()),"md5");
string sql = "SELECT * FROM jw_colset WHERE jw_colsetuser='" + ClearInputString(coluser,coluser.Length) + "' and jw_colsetpass ='" + ClearInputString(colpwd, colpwd.Length) + "'";
SqlCommand Comm = new SqlCommand(sql, Exsql.con);
SqlDataReader dr = Comm.ExecuteReader();
if (dr.Read())
{

Session["SetName"] = dr["jw_colsetuser"];
Session["SetCode"]=dr["jw_colsetcode"];

Response.Redirect("EduCollege/Default2.aspx");

}
TextBox1.Text = "";
TextBox2.Text = "";
}

}

private string ClearInputString(string coluser)
{
throw new Exception("The method or operation is not implemented.");
}
}

这样在后台里每一个页面page_load插入
if (Session["SetName"] == null)
{
Response.Redirect("../EduLogin.aspx");
}

就安全可以了?

有没有漏洞..
...全文
354 8 打赏 收藏 转发到动态 举报
写回复
用AI写文章
8 条回复
切换为时间正序
请发表友善的回复…
发表回复
redebug 2007-03-15
  • 打赏
  • 举报
 回复
用这种sql + sql的组合危险太大了
没有明白为什么不用SqlParameter 来传递参数
eliphe 2007-03-15
  • 打赏
  • 举报
 回复
有问题: 这句话:

string sql = "SELECT * FROM jw_colset WHERE jw_colsetuser='" + ClearInputString(coluser,coluser.Length) + "' and jw_colsetpass ='" + ClearInputString(colpwd, colpwd.Length) + "'";
qij2256 2007-03-14
  • 打赏
  • 举报
 回复
没必要这么复杂吧。。 用一个正则表达式限制只能输入字母和数字。。然后限制16位之内。。用个存储过程。。就绝对没问题了。。
Animatrix 2007-03-14
  • 打赏
  • 举报
 回复
学习~
yekai1983 2007-03-14
  • 打赏
  • 举报
 回复
学习中
zhujiang876 2007-03-14
  • 打赏
  • 举报
 回复
我也差不多噢
zhenjiaobing 2007-03-14
  • 打赏
  • 举报
 回复
mark
lk829 2007-03-13
  • 打赏
  • 举报
 回复
基本上还行!
ASP.NET实战-零基础"抄近路"驾驭ASP.NET网站开发
本课程开发模式:Web Pages(Web 页面) 课程大致完成内容: 1、ASP.NET是一个使用 HTML、CSS、JavaScript和服务器脚本创建网页和网站的开发框架。 2、ASP.NET支持三种不同的开发模式: Web Pages(Web 页面) MVC...
开源基于ASP.Net Core开发的一套通用后台框架
开源基于ASP.Net Core开发的一套通用后台框架【转】 果冻栋吖 程序员 30 人赞同了该文章 基于http://ASP.NetCore开发一套通用后台框架 写在前面 这是本人在学习的过程中搭建学习的框架,如果对你有所帮助那再好不过。如果您有发现错误,请告知我,我会第一时间修改。 知其然,知其所以然,并非重复的造轮子。因为这段时间我发现,自己闷很久写出来的代码,再去看看别人的,会有种恍然大悟的感觉。不是只会用,而不知道为什么要这样用。 真的,只看不敲,总是学不会。 Demo地址:h.
基于ASP.Net Core开发的一套通用后台框架
基于ASP.Net Core开发一套通用后台框架 写在前面 这是本人在学习的过程中搭建学习的框架,如果对你有所帮助那再好不过。如果您有发现错误,请告知我,我会第一时间修改。 知其然,知其所以然,并非重复的造轮子。因为这段时间我发现,自己闷很久写出来的代码,再去看看别人的,会有种恍然大悟的感觉。不是只会用,而不知道为什么要这样用。 真的,只看不敲,总是学不会。 Demo地址:http:/...
ASP.NET开发大全第1章.ASP.NET_3.5与开发工具
第1章  ASP.NET 3.5与开发工具 从本章开始,读者将能够系统的学习ASP.NET 3.5技术,相对于ASP.NET 2.0而言,在3.5版本的ASP.NET中并没有太多的变化,而更多的变化则在于C#编程语言中。而作为微软主推的编程语言,ASP.NET 3.5能够使用C#的最新特性进行高效的开发,本章从基础讲解什么是ASP.NET,以及开发工具的使用。 1.1  什么是ASP.NE
ASP.Net前台调用后台变量
Net前台调用后台变量  1.Asp.Net中几种相似的标记符号: 解释及用法  答: : 是在绑定控件DataBind()方法执行时被执行,用于数据绑定  如:   : 在程序执行时被调用,可以显示后台变量值  如:  *.aspx中:   *.cs中: protected string aaa="姓名";  : 内
.NET社区

62,046

社区成员

669,049

社区内容

发帖
与我相关
我的任务
社区描述
.NET技术交流专区
javascript云原生 企业社区
社区管理员
  • ASP.NET
  • .Net开发者社区
  • R小R
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告

.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见,支持健康理性的辩论和互动,反对歧视和攻击。

希望和大家一起共同营造一个活跃、友好的社区氛围。

试试用AI创作助手写篇文章吧

+ 用AI写文章