C#做网站中安全控制问题

lajx626

我现在用C#作网站，遇到一个问题，如果用户知道了我的管理员的页面的地址，可以直接进入而不用经过登陆界面，其他朋友告诉我可以用SESSION管理，可是我对于此不了解，有哪位高手知道该如何控制，麻烦告诉以下阿。如果可以，最好给点源代码看看。多谢多谢。

wb2006wb

登陆页
using System;
using System.Data;
using System.Data.SqlClient;
using System.Configuration;
using System.Collections;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;

public partial class admin_index : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        Title = "后台登陆";
    }
    protected void dl_Click(object sender, EventArgs e)
    {
        string admin_name = Request["l_name"].ToString();
        string admin_pwd = Request["l_pwd"].ToString();
        string connstring = System.Configuration.ConfigurationManager.AppSettings["myconn"];
        SqlConnection thisconnection = new SqlConnection(connstring);
        string sql = "select * from admin where admin_name ='"+admin_name+"' and admin_pwd = '"+admin_pwd+"'";
        SqlCommand thiscommand = new SqlCommand(sql,thisconnection);
        thiscommand.CommandType = CommandType.Text;
        try
        {
            thiscommand.Connection.Open();
            SqlDataReader dr = thiscommand.ExecuteReader();
            if (dr.Read())
            {
                Session["admin_name"] = admin_name;
                Response.Redirect("class.aspx");
            }
            else
            {
                this.l_error.Text = "用户名或者密码错误";
            }
        }
        catch (SqlException ex)
        {
            Response.Write(ex.ToString());
        }
        finally
        {
            thiscommand.Connection.Close();
        }
    }
}


其他页都加上
    protected void Page_Load(object sender, EventArgs e)
    {
        if (Session["admin_name"] == null)
        {
            Response.Redirect("index.aspx");
        }
    }

waitking

严重同意楼上的说法