内容管理系统安全?

时间:2013-04-05 15:22:33

标签: c# asp.net

我目前正在尝试创建自己的CMS系统。

在“/tools/default.aspx”页面上,我有一个登录,成功登录后,重定向到“/tools/cms.aspx”。

我使用了Windows身份验证来阻止对文件夹的不必要访问,但如果我输入“/cms/cms.aspx”页面,我可以在不登录的情况下访问CMS。

修改

我已阻止访问CMS,但登录现在无效,我仍然可以访问其文件夹。

/tools/web.config:

<?xml version="1.0"?>
    <configuration>
      <system.web>
        <authorization>
          <deny users="?"/>
        </authorization>
      </system.web>

    <location path="default.aspx">
      <system.web>
        <authorization>
          <allow users="*"/>
        </authorization>
      </system.web>
    </location>

    <location path="styles">
      <system.web>
        <authorization>
          <allow users="?"/>
          <allow users="*"/>
        </authorization>
     </system.web>
   </location>

    <location path="images">
      <system.web>
        <authorization>
          <allow users="?"/>
          <allow users="*"/>
        </authorization>
      </system.web>
    </location>
   </configuration>

的web.config:

<?xml version="1.0"?>
<configuration>
  <system.web>
    <authentication mode="Forms">
      <forms name="CMSLogin" loginUrl="~/tools/default.aspx" protection="All" timeout="20" path="/" />
    </authentication>
    <roleManager enabled="true" />
  </system.web>
</configuration>

*删除了敏感的web.config信息

登录身份验证尝试:

protected void Login1_Authenticate(object sender, AuthenticateEventArgs e)
{
    string userName = Login1.UserName;
    string passWord = Login1.Password;
    bool rememberUserName = Login1.RememberMeSet;

    using (SqlConnection sqlCon = new SqlConnection(ConfigurationManager.ConnectionStrings["websiteContent"].ConnectionString))
    {
        sqlCon.Open();
        string SQL = "SELECT CMS_Username, CMS_Password FROM CMS_Users WHERE CMS_Username ='" + userName + "' AND CMS_Password ='" + passWord + "'";
        using (SqlCommand sqlComm = new SqlCommand(SQL, sqlCon))
        {
            sqlComm.ExecuteScalar();

            if (sqlComm.ExecuteScalar() != null)
            {
                Response.Redirect("cms.aspx");
            }
            else
            {
                Session["UserAuthentication"] = "";
            }
        }
        sqlCon.Close();
    }
}

1 个答案:

答案 0 :(得分:0)

您可以在其页面加载事件的每个页面中检查会话变量的值是否为空,或者您可以只使用母版页并在其加载事件中执行相同的检查。