/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
Sikkert bruger login...
Fra : Magnus


Dato : 27-03-06 14:57

Jeg er ved at opbygge et bruger login men hvordan gør jeg det sikkert så
ikke det kan snydes. Med nedestående kode kontrollere jeg et brugernavn og
password i min database og findet den en bruger med oplysningerne sætter jeg
Session("login") til "1". Dvs. er Session("login") ikke lig "1" så er man
ikke logget ind.

Er det den "rigtige" måde og en sikker nok måde både at beskytte brugerens
oplysninger og beskytte mod uønsket adgang?

/Magnus


SQL = "Select username, password FROM Users WHERE username='" &
request.form("username") & "' AND password='" & request.form("password")
Set RS = conn.execute(SQL)

If (RS.BOF OR RS.EOF) Then
Session("login")=0
Session("lastlogin")=""
else
Session("login")="1"
Session("userid")=RS("userid")
Session("lastlogin")=RS("lastlogin")
end if



 
 
Jens Gyldenkærne Cla~ (27-03-2006)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 27-03-06 15:04

Magnus skrev:

> SQL = "Select username, password FROM Users WHERE username='"
> & request.form("username") & "' AND password='" &
> request.form("password")

Ovenstående er ikke sikret mod sql-injection. Man bør aldrig bruge
formværdier i en sql-sætning uden validering. Se hvorfor og hvordan
man kan sikre sig her: <http://asp-faq.dk/article/?id=95>.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Magnus (27-03-2006)
Kommentar
Fra : Magnus


Dato : 27-03-06 17:33

Ja det var også meningen men hvad vil være den bedste måde helt at sikre sig
for sådannne "fejl"?

Hvad hvis jeg startede med kun at tillader tal og bogstaver i brugernavn,
password og ingen tegn eller mellemrum?
Så vil jeg gennemløbe brugernavn og password tegn for tegn og sikre mig at
det enten er tal eller bogstav.

Vil det ikke være en 100% sikker måde i forhold til det problemer der
beskrives i artiklen?

Er der ellers nogen faldgrupper?

/Magnus


>> SQL = "Select username, password FROM Users WHERE username='"
>> & request.form("username") & "' AND password='" &
>> request.form("password")
>
> Ovenstående er ikke sikret mod sql-injection. Man bør aldrig bruge
> formværdier i en sql-sætning uden validering. Se hvorfor og hvordan
> man kan sikre sig her: <http://asp-faq.dk/article/?id=95>.



Jens Gyldenkærne Cla~ (27-03-2006)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 27-03-06 17:44

Magnus skrev:

> Ja det var også meningen men hvad vil være den bedste måde helt at
> sikre sig for sådannne "fejl"?

Brug den funktion der er beskrevet i artiklen.


> Hvad hvis jeg startede med kun at tillader tal og bogstaver i
> brugernavn, password og ingen tegn eller mellemrum?


Det er ikke nødvendigt - bare man sikrer sig mod injection (hvad man
under alle omstændigheder bør gøre).

NB: Læs gerne min signatur.

--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Torben Brandt (27-03-2006)
Kommentar
Fra : Torben Brandt


Dato : 27-03-06 23:29

Jens Gyldenkærne Clausen skrev:
> Se hvorfor og hvordan man kan sikre sig her:
> <http://asp-faq.dk/article/?id=95>.

Hej Jens,

Jeg ser lige at et af linkene i bunden er flyttet.
<URL:http://www.sqlsecurity.com/faq-inj.asp>
bør rettes til
<URL:http://www.sqlsecurity.com/FAQs/SQLInjectionFAQ/tabid/56/Def
ault.aspx>

Det kan du sikkert klare

mvh Torben


Jens Gyldenkærne Cla~ (29-03-2006)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 29-03-06 11:01

Torben Brandt skrev:

> Jeg ser lige at et af linkene i bunden er flyttet.
> <URL:http://www.sqlsecurity.com/faq-inj.asp>
> bør rettes til
> <URL:http://www.sqlsecurity.com/FAQs/SQLInjectionFAQ/tabid/56/Def
> ault.aspx>

Ovenstående side er ikke aktiv pt (og hovedsiden,
www.sqlsecurity.com) står som "Under Construction". Jeg giver det
lige et par dage - hvis den kommer op igen, skal jeg nok ændre
linket.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Michael Zedeler (27-03-2006)
Kommentar
Fra : Michael Zedeler


Dato : 27-03-06 23:32

Magnus wrote:
> Jeg er ved at opbygge et bruger login men hvordan gør jeg det sikkert så
> ikke det kan snydes. Med nedestående kode kontrollere jeg et brugernavn og
> password i min database og findet den en bruger med oplysningerne sætter jeg
> Session("login") til "1". Dvs. er Session("login") ikke lig "1" så er man
> ikke logget ind.

Ville det ikke være rart samtidig at vide hvem det er, der er logget
ind? Du kan bare sætte Session("login") til brugernavnet på den bruger,
der er logget ind. Hvis værdien ikke er sat, er der ikke logget ind.

Mvh. Michael.
--
Which is more dangerous? TV guided missiles or TV guided families?
Visit my home page at http://michael.zedeler.dk/
Get my vcard at http://michael.zedeler.dk/vcard.vcf

Jens Gyldenkærne Cla~ (29-03-2006)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 29-03-06 08:38

spintail skrev:

> Jeg har også lige et link som måske kan bidrage:
>
> http://activedeveloper.dk/artikler/default.asp?articleid=180

Hvem svarer du og hvad svarer du på? Det er svært at se når du ikke
citerer noget. Læs gerne min signatur.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

spintail (29-03-2006)
Kommentar
Fra : spintail


Dato : 29-03-06 06:10

Hejsa
Jeg har også lige et link som måske kan bidrage:

http://activedeveloper.dk/artikler/default.asp?articleid=180

Allan


spintail (29-03-2006)
Kommentar
Fra : spintail


Dato : 29-03-06 14:09

>Hvem svarer du og hvad svarer du på? Det er svært at se når du ikke
>citerer noget. Læs gerne min signatur.

Sorry prøver lige igen så...


@magnus
>Jeg er ved at opbygge et bruger login men hvordan gør jeg det sikkert så
>ikke det kan snydes

Måske du kan bruge dette link.

http://activedeveloper.dk/artikler/default.asp?articleid=180

MvH
Allan


Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste