CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede stivert.dk Nybegynder
31. maj 2000 - 15:29 Der er 8 kommentarer

Kunne dette login script gøres bedre ?!?

Kunne dette login script gøres bedre ?!?

---------------Login.asp----------------

<%


if Request.Form("action") = "Login" then

password = Request.Form("password")
username = Request.Form("username")
Session("username") = username

set rs = Server.CreateObject("ADODB.Connection")
rs.Open "DRIVER={Microsoft Access Driver (*.mdb)};DBQ=" & Server.MapPath("sub.mdb") & ";DriverId=25;FIL=MS Access"

sqlLogin="select Id from seb where (seb='"& username &"') AND (pwd='"& password &"')"
Set userSet = rs.Execute(sqlLogin)
If  Not (userSet.BOF Or UserSet.EOF) then
Session("usrID") = userSet("Id")

Response.Redirect "subopdater.asp"

else

Response.Redirect "login.asp?action=fejl"
End if

rs.Close
Set rs = Nothing

end if
%>
<HTML>
<HEAD>
<style type="text/css">
<!--
.text {  font-family: Arial; font-size: 8pt; font-weight: bold; color: #000000; border: #000000; border-style: solid; border-top-width: thin; border-right-width: thin; border-bottom-width: thin; border-left-width: thin; background-color: #CCCCCC}
-->
</style>
</HEAD>
<body bgcolor="DimGray" leftmargin="0" topmargin="0">

<form method="post" action="login.asp" name="login">
    <font face="Arial" size="2" color="#FFFFFF">Indtast dit brugernavn og password </font>
  <% if Request("action") = "fejl" then %>
  <font face=Arial color="LightGoldenrodYellow"><b><br>Der
  opstod en fejl, der er enten fejl i brugernavn eller password.</b><br></font>
  <% end if %>
  <table width="148" border="0" cellspacing="0" cellpadding="0" height="44">
    <tr>
      <td width="71"><font face="Arial" size="2" color="#FFFFFF">Brugernavn</font></td>
      <td width="77">
        <input type="text" class="text" name="username" size="10">
      </td>
    </tr>
    <tr>
      <td width="71" height="9" valign="top"><font size="2" color="#FFFFFF" face="Arial">Password</font></td>
      <td width="77" height="9" valign="top">
        <input type="password" class="text" name="password" size="10">
      </td>
    </tr>
  </table>
  <input type="submit" name="action" value="Login">
</form>
<p>&nbsp; </p>
</BODY>
</HTML>

---------------login.asp---------------
Avatar billede stivert.dk Nybegynder
31. maj 2000 - 15:30 #1
Og jeg er nybegynder i asp..
Så hvad betyder "If  Not (userSet.BOF Or UserSet.EOF)" ?

Avatar billede nse Nybegynder
31. maj 2000 - 15:31 #2
Hvordan bedre????
Avatar billede fumes Nybegynder
31. maj 2000 - 15:38 #3
Systemet er da OK..

linien du referer til betyder:

Hvis IKKE (userset.BeginOfFile or userset.EndOfFile)

Altså hvis der ER en record....

Dvs. efterfølgende linie bliver udført hvis der er kommet en record ud af dit sql statement - og else bliver udført hvis der ikke er en record..
Avatar billede phylox2 Nybegynder
31. maj 2000 - 16:50 #4
Ja, jeg syntes også, at det ser godt nok ud!
Avatar billede cyigen Nybegynder
01. juni 2000 - 15:12 #5
Disse linier betyder:

If  Not (userSet.BOF Or UserSet.EOF) then

/Her skal scriptet være hvis det ikke er et tom recordset

else

/Her skal der scriptet være til hvis det var et tomt recordset eller det ikke lykkedes et eller andet så skal det stå her!!

End if 

/End if står for at den slutter det der If som du har startet der øver!
Avatar billede mawtex Nybegynder
01. juni 2000 - 23:34 #6
Det kan gøres bedre, men i høj grad mere sikkert - du begår en klassisk brøler: Du tager input fra en anonym bruger og bøffer direkte videre til en kommandofortolker.

Hvad ville der ske hvis jeg angiver følgende som hhv. brugernavn og kode:
' or 'a'='a
' or 'a'='a

Så får du følgende WHERE klausul:
(seb='' or 'a'='a') AND (pwd='' or 'a'='a')

Det vil til enhver tid være sandt. Eksisterer der blot én bruger er jeg inde. Ovenstående kan desuden krydres lidt. Hvis jeg ved at der findes en ”admin” bruger kan jeg skrive:
admin
' or 'a'='a

Og jeg er inde som ”admin”

Jeg har følgende kommentarer:

1. Check inddata. Forventer du et tal, så type-check det. Forventer du strenge, så vær sikker på at brugeren ikke kan ”bryde ud”. Replace( strInput, ”’”, ”’’” ) er den hurtige fix.

2. Brug "stored procedures". Hvis du leverer data via parameter-objekter er ovenstående sikkerhedshul lukket.

3. Ved mindre der er tale om et hobbyprojekt, bør ASP ikke indeholde sikkerhedslogik el.l. Kod komponenter. Ideelt set bør ASP-kun være 3 linier. Opret objekt, kald objekt, dealloker objekt. Hård kost, men det kører hurtigt.

4. Når du bruger sessions-variable kan din løsning ikke skalere over flere servere. Session-objektet bruger også en del ressourcer. Hvis du regner med mange brugere, er Session-variable bandlyst.

5. Din Access-fil ligger i samme mappe som dit ASP-script. Dvs. jeg kan hente den ned via min browser. Så har jeg alle brugernavne og kodeord. Læg ALDRIG en følsom Access-fil i en ”offentlig mappe”

6. Du lukker ganske flot for din forbindelse med rs.Close og Set rs = Nothing – de bliver bare aldrig kaldt!!!


Tænk dig grundigt om mht. bruger-input og SQL. En SQL-sætning kan temmelig meget. Se f.eks. følgende eksempel:

objDbConn.Execute(”SELECT x FROM y WHERE id=” & Request(”id”))

Hvis dette kører på en SQL-server med SA-kontoen (hvad er kutyme blandt ASP-kodere der laver ovenstående nummer) vil følgende URL-kald lukke SQL-Serveren ned:

Somefile.asp?id=1%01SHUTDOWN+WITH+NOCHECK

Vær opmærksom på sikkerheden.

Avatar billede mawtex Nybegynder
01. juni 2000 - 23:36 #7
Jeez - hvem har kodet det her site... Det ænder min gnyffer. Det jeg mente var to tomme gnyffer - nedenfor samlet i gåseøjne:

(seb=" or 'a'='a') AND (pwd=" or 'a'='a')
Avatar billede phylox2 Nybegynder
21. september 2000 - 15:42 #8
Kan vi få en afslutning på dette spørgsmål?
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Programmeringssprog kurser
Kurser inden for grundlæggende programmering
Se alle Programmeringssprog kurser

Flere spørgsmål fra ASP kategorien

Titel Indlæg Oprettet Seneste aktivitet
ASP classic Af bsn i ASP 8 28/10/202423:11 30/10/202422:51
Classic - filer vist med sidste fil først Af bsn i ASP 5 23/05/202409:56 24/05/202400:02
Optimer MySql table med ASP Af poulmadsen i ASP 4 26/04/202417:16 26/04/202418:37
JSON Af ingeman i ASP 3 07/04/202417:53 08/04/202412:09
Vis detaljeret fejlkoder Af poulmadsen i ASP 6 09/03/202418:16 10/03/202417:59
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
21 min siden Danmark versus Norge.. Af Hans j i PC
I går 15:53 Ccleaner og Avast Premium Af nu_igen i Andet software
I går 14:41 Fremme e-mail konti, YouSee Webmail, i Outlook.com (gratis) Af mort1 i E-mail programmer
I går 13:13 Returnere korrekt værdi ved dubletter Af karina1971 i Excel
I går 08:56 HP support Af gerhardpet i Printere
White papers
Flere white papers »


Premium
Teaser billede
Danmarks nye supercomputer-dronning til Computerworlds læsere: Sådan får I adgang til Gefions enorme regnekraft
Læs mere »
Microsoft-huset Elbek & Vejrup henter ny CEO fra KMD
Microsoft advarer Azure-kunder: Denne fejl kan få programmet til at gå i sort
Forslag til dansk AI-lov sendes nu i høring: Skal træde i kraft om få måneder - se det her
Se alle »
Computerworld
Teaser billede
Russisk domstol: Google skal betale 20 kvintilliarder dollar i bøde - fordobles løbende
Læs mere »
Test: Det er nærmest vanedannede at anvende disse mini-tastaturer
Linus Torvalds giver russiske Linux-udviklere sparket: Vil ikke have noget med dem at gøre
Test af Apple Watch Series 10: Apples jubilæums-model er blevet lidt af en mester af det hele
Se alle »
CIO
Teaser billede
It-leverandør ramt af flodbølge af erstatningskrav fra kunder efter cyberangreb
Læs mere »
Novo Nordisk satsede på HoloLens, men nu har Microsoft dræbt produktet
Microsoft: Sådan arbejder Google målrettet på at skade os i det skjulte
Jyske Bank er en af de største ejere af Bankdata – men nu har banken købt et nyt system hos konkurrenten BEC
Se alle »
Job & Karriere
Teaser billede
Pludselig exit fra Schultz kom som en overraskelse for Merete Søby: Derfor stoppede samarbejdet
Læs mere »
Danske Aeven flytter hele hovedkontoret med 600 medarbejdere til ny adresse og tager Sentia med
Microsoft klar med ny direktion for den danske forretning: Her er de nye direktører
Top-profilen Helle Huss ny direktør i Microsoft Danmark - tiltræder om to måneder
Se alle »
White paper
Teaser billede
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Læs mere »
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
SAP: Skab værdi og minimér omkostninger med effektiv dokumenthåndtering
Styrk compliance, sikkerhed og overblik med ét hug
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »