---

Hej NG,

Jeg fandt dette login-script på activedeveloper.dk (se link):

http://activedeveloper.dk/artikler/default.asp?articleid=88

Mine spørgsmål er følgende:

Er dette script sikkert nok?
Er der nogle gyldne regler omkring login, SQL, database og de
områder man vil beskytte?
Skriv gerne link til artikler eller bedre login-scripts!

Med venlig hilsen

Jimmy Snedker

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Jimmy Snedker wrote:
> Hej NG,
>
> Jeg fandt dette login-script på activedeveloper.dk (se link):
>
> http://activedeveloper.dk/artikler/default.asp?articleid=88
>
> Mine spørgsmål er følgende:
>
> Er dette script sikkert nok?
> Er der nogle gyldne regler omkring login, SQL, database og de
> områder man vil beskytte?
> Skriv gerne link til artikler eller bedre login-scripts!
>
> Med venlig hilsen
>
> Jimmy Snedker
>

Jeg vil sige at det ikke er sikkert nok

For det første ser det ikke ud som om den beskyttede side faktisk er
beskyttet, hvis du bare kan gætte side navn kan du jo selv skrive det i
browseren.

For det andet kan man hvis man kender databasens navn downloade den og
hente folks koder.

For det tredje bør der bruges sessions eller cockies (egentlig også en
del af kritik punkt et) for at gøre systemet mere sikkert

/Christian

p.s. kig evt. på html.dk og hjemmesideskolen for at få bedre idéer,
eller spørg endeligt i gruppen, hvis du vil have ydeligere hjælp

---

Hej Christian!


> For det første ser det ikke ud som om den beskyttede side faktisk er
> beskyttet, hvis du bare kan gætte side navn kan du jo selv skrive det i
> browseren.

Jeg har lavet en ankomst-side, der er sikret! Således hvis man gætter
navnet på siden men ikke er logget ind - bliver man kastet til noaccess.aps

>
> For det andet kan man hvis man kender databasens navn downloade den og
> hente folks koder.
>

Min database ligger i sikret mappen, således man ikke kan downloade den!

Med venlig hilsen

Jimmy

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Jimmy Snedker wrote:
> Hej Christian!
>
>
>
>>For det første ser det ikke ud som om den beskyttede side faktisk er
>>beskyttet, hvis du bare kan gætte side navn kan du jo selv skrive det i
>>browseren.
>
>
> Jeg har lavet en ankomst-side, der er sikret! Således hvis man gætter
> navnet på siden men ikke er logget ind - bliver man kastet til noaccess.aps
>

Giv mig et link, så skal jeg tjekke vor sikret den er :D

>
>>
>>For det andet kan man hvis man kender databasens navn downloade den og
>>hente folks koder.
>>
> Min database ligger i sikret mappen, således man ikke kan downloade den!
>

Godt

> Med venlig hilsen
>
> Jimmy
>

---

Hej Christian!

> Giv mig et link, så skal jeg tjekke vor sikret den er :D

http://www.3d-empire.dk/rt61/memberarea/default.asp

Med venlig hilsen

Jimmy Snedker

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Jimmy Snedker wrote:
> Hej Christian!
>
>
>>Giv mig et link, så skal jeg tjekke vor sikret den er :D
>
>
> http://www.3d-empire.dk/rt61/memberarea/default.asp

Ser rimeligt sikkert ud fra hvad jeg kan se... kunne fx ikke få lov til
at downloade din ASP kode...

/Christian
>
> Med venlig hilsen
>
> Jimmy Snedker
>

---

Jimmy Snedker wrote:
> Jeg fandt dette login-script på activedeveloper.dk (se link):
>
> http://activedeveloper.dk/artikler/default.asp?articleid=88
>
> Mine spørgsmål er følgende:
>
> Er dette script sikkert nok?
> Er der nogle gyldne regler omkring login, SQL, database og de
> områder man vil beskytte?
> Skriv gerne link til artikler eller bedre login-scripts!

Samme sted finder du en artikel om sql injection ( dit loginscript tager
højde for det - med hvis du ikke lige tænker over de to linier der sikrer
mod dette kunne du risikere at komme til at undlade dem ved en senere
lejlighed )

http://www.activedeveloper.dk/artikler/default.asp?articleid=297

Mvh
Chrisser

---

Hej Chrisser!

Tak for svaret!


> Samme sted finder du en artikel om sql injection ( dit loginscript tager
> højde for det - med hvis du ikke lige tænker over de to linier der sikrer
> mod dette kunne du risikere at komme til at undlade dem ved en senere
> lejlighed )

Dvs. hvis mit script tager højde for sql injection, min database ligger i
en "download-beskyttet"-mappe og mine private sider er beskytte mod man kan
komme ind unden at være logget ind ...så er jeg godt på vej?

Med venlig hilsen

Jimmy Snedker

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Jimmy Snedker wrote:
>> Samme sted finder du en artikel om sql injection ( dit loginscript
>> tager højde for det - med hvis du ikke lige tænker over de to
>> linier der sikrer mod dette kunne du risikere at komme til at
>> undlade dem ved en senere lejlighed )
>
> Dvs. hvis mit script tager højde for sql injection, min database
> ligger i en "download-beskyttet"-mappe og mine private sider er
> beskytte mod man kan komme ind unden at være logget ind ...så er
> jeg godt på vej?

Ja det vil jeg mene, dine includefiler kan jo så beskyttes mod nysgerrige
øjne hvis du kalder den *.asp frem for ex. *.inc - det gælder for eksempel
hvis du har din databaseforbindelse i en includefil...


Chrisser