c# ASP - Logowanie na stronie + metoda ExecuteScalar()

Witajcie.

Tworze sobie logowanie na stronie. Na razie logowanie nic tak naprawde nie robi oprócz sprawdzania loginu i hasła.
Cały kod:


w web.config


Problem występuje wtedy i tylko wtedy, gdy podam złe hasło, czyli:

Jeśli podam zły login - podaje, że jest zły login - to jest ok.
Jeśli podam dobry login i dobre hasło- jest ok.
Jeśli podam dobry login i złe hasło- wywala błąd przy linii:


An exception of type 'System.NullReferenceException' occurred in WebApplication1.dll but was not handled in user code

Additional information: Odwołanie do obiektu nie zostało ustawione na wystąpienie obiektu.

Czytałem o tym z 200 godzin, ale nie wiem w czym problem:/
Czy mógłby mi ktoś wskazać rozwiązanie? Już nie mam siły do tego

jeszcze dodaje error z przeglądarki:

Po pierwsze, co od razu przyprawia mnie o ciarki to ta konstrukcja:




http://pl.wikipedia.org/wiki/SQL_injection


Myślę że nic nie znalazł wiec nie ma co dalej robić.
Sprawdź może najpierw czy sam ExecuteScalar() nie jest NULL
a potem wykonaj resztę operacji.

pozdr.

Możesz mi powiedzieć jak mam to zrobić?
Siedzę nad tym chyba z 50 lat już i kolejne tyle nic, w tym przypadku, nie zmieni Po prostu zaciąłem się i już.

A co do SQL injection to wiem o tym. Będę to zabezpieczał jak mi w końcu wszystko będzie działać.

Edit:

a jak usunąłem ExecuteScalar() i dałem samo:



To jest ok, ale hasło jest zawsze błędne... hmm

Edit2:
Co do Injection, może być na dobry początek coś takiego?:

No nie to nie chodzi żeby usunąć ExecuteScalar() bo nie odczytasz nic z bazy.

Chodzi o to że
passcmd.ExecuteScalar().ToString().Replace(...

to rząd operacji
najpierw ExecuteScalar()
potem ToString()
następnie Replace(...

Tak więc skoro ExecuteScalar() jest typu NULL to ToString() już nie moze zadziałać.

może coś tego typu



Zresztą przemyśl ten kod czy dwa razy musisz wysyłać zapytanie do bazy.

pozdr.

Aha, teraz to jest bardziej jasne dla mnie
Dzięki za wytłumaczenie- myślałem, że to wykonuje się "na raz", a nie jedno po drugim.

ok, to zrobiłem coś takiego:



Teraz wychodzi na to, że log == null jest zawsze.!


Edit:

hm... teraz przeczytałem to co dodałeś o dwóch zapytaniach. Czyli w jedym zapytaniu pytać o log i pas? spróbuje.

Edit:
Czyli może być coś takiego?

SELECT Login, Password FROM LoginTable WHERE Login ='(tutaj textboxlogin)' AND Password = '(tutaj textboxpass)'

i potem jesli zwroci wartosc inna niż null to jest ok. Tak ?

Zaraz... tym select'em szukasz wiersza z loginem i odczytasz hasło.
wiec skoro nie znajdzie wiersza (bedzie null lub DBnull) to "login nieznany".

Jeżeli odnajdzie to wtedy porównujesz hasło.

Jeżeli nie rozdzielasz błedu na login i hasło (a tak powinno być)
to możesz zrobić tak (nie wnikam w SQL injection żeby łatwiej wytłumaczyć):



Ogólnie nie rozdziela sie informacji dla usera czy sam login jest ok czy nie
tylko jako komplet ponieważ to by było ważne info ale głównie dla potencjalnych hackerów np rosyjskich

pozdr.

O. Tego mi brakowało. Dzięki za sprostowanie moich wypocin

Skoro w zapytaniu robisz count, to dlaczego po ExecuteScalar robisz ToString, jeśli metoda zwraca int (jako object)? Niepotrzebnie zamieniasz na string by później znów przerobić na int.
Proponuję zamienić kod na

Zamiast sklejać tekst poczytaj o parametrach - to jest bezpieczniejsze. Jeśli chcesz sklejać, możesz użyć metody HttpServerUtility.HtmlEncode.

Hmmm... To jest do mnie czy do Pana sivex'a ? bo ja już się pogubiłem.