Dim conlogin As SqlClient.SqlConnection
Application("conlogin") = New SqlClient.SqlConnection("workstation id=(local);packet size=4096;user id=" + TextBox1.Text + ";password=" + TextBox2.Text + ";data source=(local);persist security info=False;initial catalog=portalnews")
Try
Application("conlogin").Open()
topic.Visible = True
topic.Visible = True
advertise.Visible = True
news.Visible = True
import_news.Visible = True
other_report.Visible = True
Catch ex As Exception
Response.Write("<script>alert('you are not admin')</script>")
End Try

برو تو صفحه لاگین و با هر یوزری به جای password بنویس

albaloo' or 1=1--
بعدش می توانید جزوه آقای نصیری در مورد SQL Injection را بخوانید.

از کدی مانند این برای فیلتر کردن ورودی کابر استفاده کن:


public string EncodeUserStr(string sqlstr)
{
string result=sqlstr;
string[] forbidden={"'","-",":","<",">","~","[","]","{","}","!","(",")","\\","/","=","|","@","#","$","%","&","\"","`"};
int i=0;
for (i=0;i<forbidden.Length;i++)
result=result.Replace(forbidden[i],"");
return result;
}

جناب SalarSoft فکر نمی کنید جابجا کردن کاراکتر ' با کاراکتر ` کافی باشه؟ (دیگه نمیتونه کاری کنه)

احتیاط شرط عقله!
در ضمن برای نام کاربر بهتره از این کارکتر ها استفاده نشه.
در هر صورت می توانید کاراکتر های اظافی را از لیست ممنوع ها حذف کنید.