سلام وقت دوستان بخیر
یه سوالی به دستم رسیده با این عنوان:

در یک برنامه تحت وب برنامه نویس در صفحه Login نام کاربری و کلمه عبور را به ترتیب در دو Text box با نام های Txt_username و Txt_password دریافت و پس از بررسی در دستور Select زیر، مجوز عبور کاربر را صادر میکند.
چه اشکال امنیتی در این سیستم وجود دارد؟؟؟
برای رفع آن چه باید کرد ؟؟؟

SELECT * FROM users WHERE usrname=txt_usrname.text AND password = txt_password.text

دوستان اگر میتونید راهنمایی کنید ممنون میشم

سلام و روز خوش

جستجو کنین : sql injection

متشکرم بابت راهنمایی شما
راستش سوال به نظر خیلی کلی هست به همین خاطر گفتم بهتره از تجربه دوستان استفاده کنم ببینم که نظر دوستان عزیز چیه

من خودم نظرم همین بود که باید از طریق ایجاد Store Procedure و فراخوانی اون مشکل رو حل کرد
بازم ممنون میشم دوستان اگر نکته و مطلبی به ذهنش میرسه بیان کنه

آموزش: تبدیل پسور کاربر به متن امن برای ذخیره در دیتابیس (barnamenevis.org) (https://barnamenevis.org/showthread.php?575902-%D8%AA%D8%A8%D8%AF%DB%8C%D9%84-%D9%BE%D8%B3%D9%88%D8%B1-%DA%A9%D8%A7%D8%B1%D8%A8%D8%B1-%D8%A8%D9%87-%D9%85%D8%AA%D9%86-%D8%A7%D9%85%D9%86-%D8%A8%D8%B1%D8%A7%DB%8C-%D8%B0%D8%AE%DB%8C%D8%B1%D9%87-%D8%AF%D8%B1-%D8%AF%DB%8C%D8%AA%D8%A7%D8%A8%DB%8C%D8%B3)

سلام دوست عزیز.
ببینید اگه این موارد رو به صورت ادد هاک کوئری در سورس زده شده هست مشکل باگ SQL Injection وجود داره و سمت SQL هم هیچ مدیریتی انجام نمیشه و همچنین مشکل بعدی که دوست ما فرمودن پسورد رو بهتر هست که به صورت هش شده ذخیره کنید.
برای مشکل SQL Injection میتونید از پارامتر استفاده کنید ولی بهتره که کوئری های SQL رو به صورت پوسیجر سمت خود SQL بزنید که هم امنیت بالاتری داره هم پرفرمنس.

با تشکر
ابراهیم