Datenbankverbindung Daten aus extra Datei ziehen/SQL Injunktion verhindern

Myar

Mitglied
Hallöchen!

Kurz zu mir:
Ich bin Neuling in der C# und ASP.NET Welt.
Habe bisher Webseiten mit PHP erstellt und im Zuge meiner Ausbildung Hauptsächlich Java Programmiert.

Zu Zeit arbeite ich an einem kleinen Webprojekt (Browsergame) und werde wohl hin und wieder auf Probleme stoßen. Ich hoffe ich kann mich dann weiterhin an euch wenden ;)

Nun zu meiner eigentlichen Frage:

Frage 1: Folgender Code:

Code:
string myConnectionString = "SERVER=localhost;" +
                                    "DATABASE=test;" +
                                    "UID=root;";

        MySqlConnection connection = new MySqlConnection(myConnectionString);

Wie ihr seht, eine Verbindung zu einer localen MySQL Datenbank. Nun wollte ich aber, die Zugangsdaten zu der Datenbank in einer extra geschützten Datei unterbringen.
Also dass sich dann mein string da oben die Daten noch besorgen muss.

Leider konnte mir google nur unzureichend helfen...

Frage 2:

(Ich arbeite gerade am Uuserlogin...)

Code:
string sql = "";
        sql = "SELECT COUNT(*) FROM `test`.`tbl_accounts` where tf_acc_name = '" + username + "' AND tf_acc_pw = md5('" + passwort + "')";

Ich habe nun einige Seiten im Netz zu SQL Injunktion gelesen, aber so richtig verstanden habe ich die nicht. Nur was von extra Variablen aber da hakt es :/

Wäre das ungefähr so?

Code:
sql = "SELECT COUNT(*) FROM `test`.`tbl_accounts` where tf_acc_name = '?UserName AND' tf_acc_pw = md5('?pwd')";
        sql = sql.Replace("?UserName", username);
        sql = sql.Replace("?pwd", passwort);

Wäre sehr dankbar über etwas Hilfe .)

Gruß
Myar
 
Zurück