Vérification de données dans une table SQL

**lou87** · 25/11/2010, 14h40

Bonjour,

Je suis débutante en c#, et j'ai essayé de faire une page de login/mot de passe afin de rediriger l'utilisateur vers sa section (mais je ne suis pas encore à ce stade là).

Là pour le moment ce que j'essai de faire est de vérifier si le login et le mot de passe entrer correspond à l'une des entrées de ma table personne se trouvant dans une base de données SQL server 2008.

Voici mon code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
protected void verification(object sender, EventArgs e)
        {   
            String user = txt_user.Text;
            String mdp = txt_mdp.Text;
 
            Session["user"] = txt_user.Text;
 
            SqlConnection connexion = new SqlConnection(System.Configuration.ConfigurationManager.
                ConnectionStrings["connectString1"].ConnectionString);
            connexion.Open();
 
            string query = @"select * from personne where mdp_pe = "+mdp+"   and login_per = "+user+"";
            SqlCommand sql = new SqlCommand();
            sql.CommandText = query;
            sql.CommandType = CommandType.Text;
            sql.Connection = connexion;
 
            string resultat1 = (string)sql.ExecuteScalar();
            txt_resultat1.Text = string.Format(resultat1);
 
 
            sql.Connection.Dispose();
            connexion.Close();
        }

Je suis sûre qu'il manque des choses ou encore que j'ai mal fait d'autres choses... Mais je n'arrive pas encore à voir mes erreurs.

Cependant je crois qu'il faut que je mette une instruction qui dit 'si données trouvées faire.... sinon faire...', et je sais que cette instruction c'est if... Mais je ne sais pas comment matérialiser le : 'données trouvées'...

En vous remerciant.

**Redouane** · 25/11/2010, 14h59

Bonjour,

Si tu travaille avec asp.net, pourquoi t'utilise pas memberShip ou L'appartenance d'ASP.NET ? :

http://www.codeproject.com/KB/aspnet...ngWebSite.aspx

http://msdn.microsoft.com/fr-fr/libr...(v=VS.80).aspx

C'est mieux et c'est sécurisé.

Déjà c'est pas bon de mettre des requettes sql dans ton code, comme t'as fait, risque de "SQL Injection".

**asmduty** · 25/11/2010, 14h59

Bonjour,

pourquoi ne pas faire un "SELECT COUNT" au lieu du "SELECT *", ainsi on aura comme resultat 1 si la personne existe, et 0 sinon.

Du coup tu remplaces ton String resultat1 en Integer resultat1 pour pouvoir tester si c'est égal à 1 ou différent de 1

**lou87** · 25/11/2010, 16h04

Je vous remercie pour vos réponses.

Pour un premier pas je vais essayer la méthode la plus simple celle de asmduty.

Quand je m'y connaîtrais un peu mieux j'essaierais ta méthode Redouane.

Mais même si elle est plus simple, j'ai quand même réussi à avoir un problème que je ne réussi pas à résoudre.....

Voici mon code modifié :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
protected void verification(object sender, EventArgs e)
        {   
            String user = txt_user.Text;
            String mdp = txt_mdp.Text;
            //int resultat;

            Session["user"] = txt_user.Text;

            SqlConnection connexion = new SqlConnection(System.Configuration.ConfigurationManager.
                ConnectionStrings["connectString1"].ConnectionString);
            connexion.Open();

            string query = @"select count(*) from personne where mdp_pe = "+mdp+" and login_per = "+user+"";
            SqlCommand sql = new SqlCommand();
            sql.CommandText = query;
            sql.CommandType = CommandType.Text;
            sql.Connection = connexion;

            int resultat1 = (int)sql.ExecuteScalar();
            //resultat = int(resultat1.ToString);
            //txt_resultat1.Text = ""+resultat1+"";

            if (resultat1 == 0)
            {
                txt_resultat1.Text = "Attention login ou mot de passe inconnu";
            }
                else if (resultat1 == 1)
                {
                    if (mdp == "admin")
                    {
                        Response.Redirect("accueilAdmin.aspx");
                    }

                        else 
                            {
                            Response.Redirect("accueilCli.aspx");
                            }
                 }
            
           
            sql.Connection.Dispose();
            connexion.Close();
        }
    }

Il me met une erreur et me surligne ce qui est en violet et me dit :

"L'exception SqlException n'a pas été géré par le code utilisateur :
Nom de colonne non valide : 'admin'.
Nom de colonne non valide : 'Admin'."

Et les deux admin, ce sont mes login et mot de passe......

Que dois-je faire pour réparer l'erreur ?

En vous remerciant.

**asmduty** · 25/11/2010, 16h11

On va en arriver à ce que disait Redouane donc.

Le soucis est que, une fois le login et le mot de passe remplis, ta requête devient :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

select count(*) from personne where mdp_pe = Admin and login_per = admin

Il manque donc les ' pour que ça donne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

select count(*) from personne where mdp_pe = 'Admin' and login_per = 'admin'

Donc ce code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
string query = @"select count(*) from personne where mdp_pe = '"+mdp+"' and login_per = '"+user+"'";
            SqlCommand sql = new SqlCommand();

Donc comme disait Redouane, si un utilisateur tape du SQL à la place du login ou du mot de passe il peut modifier ta requête.

**Redouane** · 25/11/2010, 16h12

il faut que tu ajoute des quotes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mdp_pe = '"+mdp+"'...

sinon, t'auras dans ton requette :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mdp_pe = admin

au lieu de

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mdp_pe = 'admin'

teste ta requette d'abord dans ton query analyzer.

essaye de travailler avec des parametres ou procedure stockée que de passer directement des données dans ta requete.

bonne courage

**lou87** · 25/11/2010, 16h16

Arf !

Ça j'aurais pu y penser, mais bon je suis tellement ancré dans 'nouveau langage = tout apprendre', que j'en avais oublié de vérifier les trucs les plus simple....

Je vous remercie tout deux de m'avoir répondu si rapidement, parce que je crois que j'aurais encore chercher longtemps.

Edit : C'est bon maintenant ça fonctionne.

Encore merci.

**ostenhard** · 25/11/2010, 16h23

il faut que tu ajoute des quotes :

Code :

mdp_pe = '"+mdp+"'...

sinon, t'auras dans ton requette :

Code :

mdp_pe = admin

au lieu de
Code :

mdp_pe = 'admin'

teste ta requette d'abord dans ton query analyzer.

Redouane, tu es fou d'écrire ça, donc lou87 du dernier message de Redouane ne retient que l'avant-dernière ligne

**asmduty** · 25/11/2010, 16h23

Mais de rien, n'oublie pas de mettre la balise résolu.
Bonne journée

**Max** · 25/11/2010, 16h28

Salut.

ostenhard a raison, surtout pas de requêtes d'authentification de ce type !

Utilise plutôt des requêtes paramétrées qui sont résistantes à l'injection SQL

.

**Redouane** · 25/11/2010, 16h30

Envoyé par ostenhard

Redouane, tu es fou d'écrire ça, donc lou87 du dernier message de Redouane ne retient que l'avant-dernière ligne

J ne comprend pas

**lou87** · 25/11/2010, 16h33

D'accord. ^_^

Merci bien eusebe19 et ostenhard.

eusebe19 => Je modifierais ça rapidement.

Merci encore tout le monde.

**Redouane** · 25/11/2010, 16h35

Oui vous aviez raison tt les 2, ci ce que j'ai essayé d'expliquer au début, mais je fait confiance à lou87

elle a dit qu'elle va voir la méthode de memberShip.

lou87 ne retient pas mon dernier message, essaye de travailler avec les bonnes méthodes pour ne pas galérer aprés.

Vérification de données dans une table SQL

C#

Discussions similaires

Partager

Partager