CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede simsen Mester
16. maj 2007 - 23:48 Der er 9 kommentarer og
1 løsning

sikkerhed i login

Hejsa,

Jeg ved ikke om det er dette rette forum at spørge i...men forsøger :-)

Jeg har et login med brugernavn og adgangskode, som jeg henter fra databasen (tester om brugeren findes og smider så op i session).

Nu ved jeg jo så, at når man ikke gør noget specielt, så er det nemt at hacke....men hvad man skal gøre, er så det jeg ikke ved.

Nogen der kan hjælpe mig med følgende kode og fortælle hvad, og ikke mindst hvorfor, jeg skal skrive, for at mit login er bedre beskytte?

min kode:
public Status GetBrugerLogin(string BrugerNavn, string Adgangskode, ref DataTable bruger)
    {
        Status status = Status.Failure;

        DataRow r = null;
        DataTable AItems = new DataTable();

        try
        {
            AItems.Columns.Add(new DataColumn("BrugerId", Type.GetType("System.String")));
            AItems.Columns.Add(new DataColumn("BrugerNavn", Type.GetType("System.String")));
            AItems.Columns.Add(new DataColumn("Spaerret", Type.GetType("System.String")));

            command.CommandText = "SELECT BrugerId, BrugerNavn, Spaerret FROM Bruger WHERE BrugerNavn = @BrugerNavn AND Adgangskode = @Adgangskode";

            //command.Parameters.Clear();
            command.Parameters.Add(new OleDbParameter("@BrugerNavn", BrugerNavn));
            command.Parameters.Add(new OleDbParameter("@Adgangskode", Adgangskode));

            OleDbDataReader myReader = command.ExecuteReader();

            //går gennem tabellen og lægger ind i rækker
            while (myReader.Read())
            {
                r = AItems.NewRow();

                try
                {
                    r["BrugerId"] = (myReader["BrugerId"]);
                    r["BrugerNavn"] = (myReader["BrugerNavn"]);
                    r["Spaerret"] = (myReader["Spaerret"]);
                }
                catch
                { }

                //Tilføjer rækken til datatable
                AItems.Rows.Add(r);
            }

            myReader.Close();
            bruger = AItems;
            status = Status.Success;
        }
        catch
        { }

        return status;
    }

mvh
simsen :-)
Avatar billede neoman Novice
17. maj 2007 - 00:04 #1
Du kan/bør kryptere adgangskoder - her er en artikel som viser en måde at gøre det på, og som formentligt besvarer dine spørsgmål desangående :O

http://aspnet.4guysfromrolla.com/articles/103002-1.aspx
Avatar billede simsen Mester
17. maj 2007 - 00:14 #2
neoman

Johhhhh jeg forstår godt, jeg skal kryptere.......men jeg kan ikke vb.net.......så jeg får desværre ikke ret meget ud af eksemplet.

Det jeg mere tænkte på, var noget i retning af, at bruger en hacker felterne til at komme ind med masser af special tegn..... at jeg ved, det kan lade sig gøre, at lukke af for det i sin sql kode.....men som sagt, jeg ved ikke hvordan. For det hjælper krypteringen jo  ikke på?

mvh
simsen :-)
Avatar billede neoman Novice
17. maj 2007 - 00:20 #3
kald til .NET objekter/metoder er de samme i C# og VB - så det burde ikke gøre nogen forskel - resten er ikke svær at regne ud.

Dét, du vist bekymrer dig for er, "sql injection" - smid "sql injection .net" ind i google, og der kommer mange gode artikler i toppen. Mig bekendt så er dét, at du bruger parametre til at sætte værdier i dine INSERTS/UPDATES  en af de safeguards som hindrer en sql-injection.
Avatar billede simsen Mester
17. maj 2007 - 06:51 #4
Godmorgen neoman,

Det var det sidste jeg ledte efter :-)

Smid et svar og tak for hjælpen.

mvh
simsen :-)
Avatar billede dr_chaos Nybegynder
17. maj 2007 - 09:03 #5
Neoman har helt ret i det med parametre.
Brugen af dem forhindre i næsten alle tilfælde sql injection.
Du bør nok sikre dig at din sql kun returnerer en række.
Avatar billede simsen Mester
17. maj 2007 - 09:10 #6
dr_chaos

Det kan være, at jeg allerede gør det......men ved ikke helt hvad I mener med "brug parametre"?

mvh
simsen :-)
Avatar billede dr_chaos Nybegynder
17. maj 2007 - 09:31 #7
tjek dine 2 linier kode:
command.Parameters.Add(new OleDbParameter("@BrugerNavn", BrugerNavn));
            command.Parameters.Add(new OleDbParameter("@Adgangskode", Adgangskode));

De viser meget tydeligt at du bruger parametre :)
og god morgen :)
Avatar billede karsten_larsen Praktikant
17. maj 2007 - 13:03 #8
i princippet så vil en kryptering også hjælpe ved sql-injektion
:-) karsten_larsen
Avatar billede simsen Mester
17. maj 2007 - 14:43 #9
dr_chaos

Ja ja - undskylder mig med, jeg har lært alt for meget herinde den sidste månedstid, og forsøger at holde det hele i den øverste, men noget smutter altså indimellem. Tænkte nok jeg brugte det *griner*

mvh
simsen :-)
Avatar billede neoman Novice
17. maj 2007 - 15:32 #10
her et svar -:)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra ASP.NET kategorien

Titel Indlæg Oprettet Seneste aktivitet
valgte i checkboks og comboboks opdater gui og backend Af keepy i ASP.NET 0 01/10/202318:39 -
Webservice Af SommerFyr i ASP.NET 19 11/05/202313:43 31/05/202315:08
ASP:Image og JPG/PDF Af TV47 i ASP.NET 4 25/03/202318:49 31/03/202310:24
www til non-www og HTTPS Af KOH i ASP.NET 2 16/03/202312:31 22/03/202310:19
Window.Open og passing af parameter Af TV47 i ASP.NET 1 14/07/202215:22 20/08/202213:03
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 15:17 PHP alfabet Af John i PHP
I dag 08:14 Nyt Batteri installeret virker ikke Af duvander i Andet hardware
I går 20:33 Glemt kode Af Bukse i E-mail programmer
I går 17:26 Søge forslag på Firefox (Linjen på midten) (Eller øverst) Af Ikke-ekspert i Browsere
I går 15:57 Android box. Af johnnylassen i Apps til Android
White papers
Flere white papers »


Premium
Teaser billede
Dansk netbetalings-firma brager frem efter strategiskifte: Forventer 5.000 nye kunder i år
Læs mere »
Virksomheder står over for store it-omkostninger: Mere end hver 10. pc kan ikke køre Windows 11
Tidligere Salesforce-boss Michael Zink stopper hos Celonis - skal være global CEO for softwareselskab
AI kan sætte en næsten øjeblikkelig stopper for sms- og telefonsvindel, men politikerne tøver
Se alle »
Computerworld
Teaser billede
Efter 11 år er det slut for Google Chromecast: Snart sidste udkald for at sikre sig den billige enhed
Læs mere »
10.000 timers ubønhørlig test afslører: Derfor sætter fladskærme ud
Mercedes’ nye generation af selvkørende biler får det grønne lys: Kan slippes løs på vejene
Google sigter højt med sin nye streaming-satsning: Mød Google TV Streamer
Se alle »
CIO
Teaser billede
Din Azure-konto kan blive misbrugt til kryptomining - helt uskyldige virksomheder ender med kæmpe-elregning
Læs mere »
Den danske it-kæmpe Atea skifter 1.200 enheder fra Windows 10 til 11: Vil spare tusindvis af arbejdstimer
Microsoft skyder tilbage mod flyselskab efter kæmpe-nedbrud: I har ringe infrastruktur
It-leverandør står over for millionbøde efter ransomware-angreb: Lykkedes ikke med at beskytte vigtige oplysninger
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
KMD-direktør forlader selskabet: Det skal hun nu
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
IBM Danmark skifter ud i sin øverste ledelse - her er den nye direktion
Se alle »
White paper
Teaser billede
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Læs mere »
Opdag fordelene ved cloud-baseret backup og recovery
Guide: Sådan udvikler du en moderne netværksstrategi
Optimering af Source-to-Pay: Identificér oplagte gevinster og skær omkostninger
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »