بچه ها یک کد برای صفحه login نوشتم ببینید قابل حک شدن هست ویا عیب ان چی هست

[ali reza omid ali]

Dim conlogin As SqlClient.SqlConnection
Application("conlogin") = New SqlClient.SqlConnection("workstation id=(local);packet size=4096;user id=" + TextBox1.Text + ";password=" + TextBox2.Text + ";data source=(local);persist security info=False;initial catalog=portalnews")
Try
Application("conlogin").Open()
topic.Visible = True
topic.Visible = True
advertise.Visible = True
news.Visible = True
import_news.Visible = True
other_report.Visible = True
Catch ex As Exception
Response.Write("<script>alert('you are not admin')</script>")
End Try

[JikSearch]

برو تو صفحه لاگین و با هر یوزری به جای password بنویس

albaloo' or 1=1--

بعدش می توانید جزوه آقای نصیری در مورد SQL Injection را بخوانید.

[SalarSoft]

از کدی مانند این برای فیلتر کردن ورودی کابر استفاده کن:

public string EncodeUserStr(string sqlstr)

{

string result=sqlstr;

string[] forbidden={"'","-",":","<",">","~","[","]","{","}","!","(",")","\\","/","=","|","@","#","$","%","&","\"","`"};

int i=0;

for (i=0;i<forbidden.Length;i++)

  result=result.Replace(forbidden[i],"");

return result;

}

[JikSearch]

جناب SalarSoft فکر نمی کنید جابجا کردن کاراکتر ' با کاراکتر ` کافی باشه؟ (دیگه نمیتونه کاری کنه)

[SalarSoft]

احتیاط شرط عقله!
در ضمن برای نام کاربر بهتره از این کارکتر ها استفاده نشه.
در هر صورت می توانید کاراکتر های اظافی را از لیست ممنوع ها حذف کنید.