/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
log-in system
Fra : Ukendt


Dato : 04-01-05 17:04

Jeg har prøvet log-in systemet på hjemmesideskolen
http://www.hjemmesideskolen.dk/scripts/asppass/default.asp

Men jeg får det ikke til at virke.

Jeg har lavet denne side http://www.skindbeni.dk/ms/freja/default.asp til
indtastning

Jeg har kopieret indholdet til bruger.asp, som ligger i samme mappe (min
server understøtter asp)

Jeg har databasen med indtastet brugernavn og kodeord lagt i samme bibliotek

Men jeg får blot denne meddelelse når jeg forsøger log-in
http://www.skindbeni.dk/ms/freja/bruger.asp

Det virker som om, at det er filen bruger.asp det går galt i. Indholdet har
jeg indsat herunder

<%
Dim adoCon
Dim strCon
Dim rsCheckUser
Dim strAccessDB
Dim strSQL
Dim strUserName

strUserName = Request.Form("txtUserName")

strAccessDB = "brugere"

Set adoCon = Server.CreateObject("ADODB.Connection")

strCon = "DRIVER={Microsoft Access Driver (*.mdb)};uid=;pwd=letmein; DBQ=" &
Server.MapPath(strAccessDB)

adoCon.Open strCon

Set rsCheckUser = Server.CreateObject("ADODB.Recordset")

strSQL = "SELECT tblUsers.Password FROM tblUsers WHERE tblUsers.UserID ='" &
strUserName & "'"

rsCheckUser.Open strSQL, strCon

If NOT rsCheckUser.EOF Then

If (Request.Form("txtUserPass")) = rsCheckUser("Password") Then

Session("blnIsUserGood") = True

Set adoCon = Nothing
Set strCon = Nothing
Set rsCheckUser = Nothing

Response.Redirect"index.asp?name=" & strUserName
End If
End If

Set adoCon = Nothing
Set strCon = Nothing
Set rsCheckUser = Nothing

Session("blnIsUserGood") = False

Response.Redirect"fejl.asp"
%>

Det er meget kort beskrevet, men hvis I udfra dette kan give lidt hjælp, vil
jeg blive glad. Jeg ved ikke, hvilke oplysninger, jeg ellers lige kan give.



 
 
FFunky (04-01-2005)
Kommentar
Fra : FFunky


Dato : 04-01-05 17:31

"Michael Sørensen"

> strAccessDB = "brugere"
Skal sikkert være "brugere.mdb"

> strCon = "DRIVER={Microsoft Access Driver (*.mdb)};uid=;pwd=letmein; DBQ="
&
> Server.MapPath(strAccessDB)
UID er blank og alligevel er der PASSWORD på, er det korrekt ??

> strSQL = "SELECT tblUsers.Password FROM tblUsers WHERE tblUsers.UserID ='"
&
> strUserName & "'"

Kan gøres i et hug

strUserID = request.form("txtUserID")
response.write strUserID
strPassword = request.form("txtPassword ")
response.write strPassword

strSQL = "Select * From tblUsers Where UserID ='" & strUserID & "' and "
strSQL = strSQL & "Password = '" & strPassword & '";"
response.write strSQL
.....
.......

if rsCheckUser.BOF and rsCheckUser.EOF then
' Ingen fundet
else
' Der var et hit
end if

Alle response.write kan udkommenteres når det kører
men de er guld værd ved fejlsøgning.

--
Med venlig hilsen
Tom Jensen
www.FFSoft.dk




Yasser (04-01-2005)
Kommentar
Fra : Yasser


Dato : 04-01-05 21:05

Jeg er også igang med at lære at lave en men?>
> > strAccessDB = "brugere"
> Skal sikkert være "brugere.mdb"
>
> > strCon = "DRIVER={Microsoft Access Driver (*.mdb)};uid=;pwd=letmein; DBQ="
> &
> > Server.MapPath(strAccessDB)
> UID er blank og alligevel er der PASSWORD på, er det korrekt ??
>
> > strSQL = "SELECT tblUsers.Password FROM tblUsers WHERE tblUsers.UserID ='"
> &
> > strUserName & "'"

Øhm jeg har prøvet men det vil ik?

> Kan gøres i et hug
>
> ''KODE''
>
> Alle response.write kan udkommenteres når det kører
> men de er guld værd ved fejlsøgning.

Hvad mener du med det? forstår ik helt?

--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Ukendt (04-01-2005)
Kommentar
Fra : Ukendt


Dato : 04-01-05 21:32

>> strCon = "DRIVER={Microsoft Access Driver (*.mdb)};uid=;pwd=letmein;
>> DBQ="
> &
>> Server.MapPath(strAccessDB)
> UID er blank og alligevel er der PASSWORD på, er det korrekt ??

Det ved jeg ikke. Ifølge hjemmesideskolen burde jeg bare kopiere hele koden
over i min asp-fil.

Jeg ved ikke, hvad det vil sige, at uid er tom og at der er password




Ukendt (04-01-2005)
Kommentar
Fra : Ukendt


Dato : 04-01-05 21:36

>> strSQL = "SELECT tblUsers.Password FROM tblUsers WHERE tblUsers.UserID
>> ='"
> &
>> strUserName & "'"
>
> Kan gøres i et hug
>
> strUserID = request.form("txtUserID")
> response.write strUserID
> strPassword = request.form("txtPassword ")
> response.write strPassword
>
> strSQL = "Select * From tblUsers Where UserID ='" & strUserID & "' and "
> strSQL = strSQL & "Password = '" & strPassword & '";"
> response.write strSQL
> .....
> ......
>
> if rsCheckUser.BOF and rsCheckUser.EOF then
> ' Ingen fundet
> else
> ' Der var et hit
> end if
>
> Alle response.write kan udkommenteres når det kører
> men de er guld værd ved fejlsøgning.

Jeg må indrømme, at jeg ikke forstod, hvad jeg skulle i ovenstående.
Desværre. Men ellers tak for din tid

Michael



Yasser (04-01-2005)
Kommentar
Fra : Yasser


Dato : 04-01-05 23:00

Nej det første skulle du nok forstår altså fx.
> >> strSQL = "SELECT tblUsers.Password FROM tblUsers WHERE tblUsers.UserID
> >> ='"
> > &
> >> strUserName & "'"
og op af? men resten fatter jeg heller ik altså
Kan gøres i et hug
> >
> > strUserID = request.form("txtUserID")
> > response.write strUserID
> > strPassword = request.form("txtPassword ")
> > response.write strPassword
> >
> > strSQL = "Select * From tblUsers Where UserID ='" & strUserID & "' and "
> strSQL = strSQL & "Password = '" & strPassword & '";"
> response.write strSQL
> .....
> ......
>
> if rsCheckUser.BOF and rsCheckUser.EOF then
> ' Ingen fundet
> else
> ' Der var et hit
> end if
>
> Alle response.write kan udkommenteres når det kører
> men de er guld værd ved fejlsøgning.


>Michael Sørensen wrote in dk.edb.internet.webdesign.serverside.asp:
> >> strSQL = "SELECT tblUsers.Password FROM tblUsers WHERE tblUsers.UserID
> >> ='"
> > &
> >> strUserName & "'"
> >
> > Kan gøres i et hug
> >
> > strUserID = request.form("txtUserID")
> > response.write strUserID
> > strPassword = request.form("txtPassword ")
> > response.write strPassword
> >
> > strSQL = "Select * From tblUsers Where UserID ='" & strUserID & "' and "
> > strSQL = strSQL & "Password = '" & strPassword & '";"
> > response.write strSQL
> > .....
> > ......
> >
> > if rsCheckUser.BOF and rsCheckUser.EOF then
> > ' Ingen fundet
> > else
> > ' Der var et hit
> > end if
> >
> > Alle response.write kan udkommenteres når det kører
> > men de er guld værd ved fejlsøgning.
>
> Jeg må indrømme, at jeg ikke forstod, hvad jeg skulle i ovenstående.
> Desværre. Men ellers tak for din tid
>
> Michael
>
>


--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Jens Gyldenkærne Cla~ (04-01-2005)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 04-01-05 23:32

Yasser skrev:

> Nej det første skulle du nok forstår altså fx.

[snip]

Hej Yasser. Kan du lokkes til at lave en blank linje mellem citater
og din egen tekst? Det er svært at skelne de to ting fra hinanden
når der ikke er mellemrum. Du må også gerne klippe lidt i dine
citater - læs evt. min signatur.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Ukendt (04-01-2005)
Kommentar
Fra : Ukendt


Dato : 04-01-05 23:37

Jeg har her igen mit første indlæg.

Jeg har rettet et par ting (se nedenfor), men hvis en vil uddybe lidt, hvad
der skal rettes ellers, vil jeg være taknemmelig. Jeg er ved at være bekendt
med HTML-kode, men ikke ASP. (desværre).

Udover de to ting, som jeg har rettet, er jeg helt på bar bund. Jeg forstod
på hjemmesideskolen.dk, at koden blot skulle indsættes i en asp-fil.

Michael

"Michael Sørensen" <webmaster_m-s SNABEL-A stofanet.dk> skrev i en
meddelelse news:41dabe3f$0$659$ba624c82@nntp02.dk.telia.net...
> Jeg har prøvet log-in systemet på hjemmesideskolen
> http://www.hjemmesideskolen.dk/scripts/asppass/default.asp
>
> Men jeg får det ikke til at virke.
>
> Jeg har lavet denne side http://www.skindbeni.dk/ms/freja/default.asp til
> indtastning
>
> Jeg har kopieret indholdet til bruger.asp, som ligger i samme mappe (min
> server understøtter asp)
>
> Jeg har databasen med indtastet brugernavn og kodeord lagt i samme
> bibliotek
>
> Men jeg får blot denne meddelelse når jeg forsøger log-in
> http://www.skindbeni.dk/ms/freja/bruger.asp
>
> Det virker som om, at det er filen bruger.asp det går galt i. Indholdet
> har jeg indsat herunder
>
> <%
> Dim adoCon
> Dim strCon
> Dim rsCheckUser
> Dim strAccessDB
> Dim strSQL
> Dim strUserName
>
> strUserName = Request.Form("txtUserName")
>
> strAccessDB = "brugere"

Her har jeg rettet til "brugere.mdb"

> Set adoCon = Server.CreateObject("ADODB.Connection")
>
> strCon = "DRIVER={Microsoft Access Driver (*.mdb)};uid=;pwd=letmein; DBQ="
> & Server.MapPath(strAccessDB)

Her har jeg slettet "letmein"

> adoCon.Open strCon
>
> Set rsCheckUser = Server.CreateObject("ADODB.Recordset")
>
> strSQL = "SELECT tblUsers.Password FROM tblUsers WHERE tblUsers.UserID ='"
> & strUserName & "'"
>
> rsCheckUser.Open strSQL, strCon
>
> If NOT rsCheckUser.EOF Then
>
> If (Request.Form("txtUserPass")) = rsCheckUser("Password") Then
>
> Session("blnIsUserGood") = True
>
> Set adoCon = Nothing
> Set strCon = Nothing
> Set rsCheckUser = Nothing
>
> Response.Redirect"index.asp?name=" & strUserName
> End If
> End If
>
> Set adoCon = Nothing
> Set strCon = Nothing
> Set rsCheckUser = Nothing
>
> Session("blnIsUserGood") = False
>
> Response.Redirect"fejl.asp"
> %>
>
> Det er meget kort beskrevet, men hvis I udfra dette kan give lidt hjælp,
> vil jeg blive glad. Jeg ved ikke, hvilke oplysninger, jeg ellers lige kan
> give.



Jens Gyldenkærne Cla~ (04-01-2005)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 04-01-05 23:37

Michael Sørensen skrev:

> strAccessDB = "brugere"

Prøv at rette linjen herover til

   strAccessDB = "brugere.mdb"
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Ukendt (05-01-2005)
Kommentar
Fra : Ukendt


Dato : 05-01-05 00:05


"Jens Gyldenkærne Clausen" <jens@gyros.invalid> skrev i en meddelelse
news:Xns95D4F0400FC11jcdmfdk@gyrosmod.cybercity.dk...
> Michael Sørensen skrev:
>
>> strAccessDB = "brugere"
>
> Prøv at rette linjen herover til
>
> strAccessDB = "brugere.mdb"

Det har desværre ikke hjulpet



Jens Gyldenkærne Cla~ (05-01-2005)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 05-01-05 00:20

Michael Sørensen skrev:

> Det har desværre ikke hjulpet

Får du samme fejl (send den gerne igen).

Er du sikker på at du har adgang (lov) til at benytte databaser på
dit webhotel?

Hvis en bestemt linje fejler i dit asp-script, så husk at sende
koden omkring denne linje - se mere på siden her:
   
   <http://asp-faq.dk/article/?id=41>
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Erik Ginnerskov (05-01-2005)
Kommentar
Fra : Erik Ginnerskov


Dato : 05-01-05 00:06

Michael Sørensen wrote:
> Jeg har prøvet log-in systemet på hjemmesideskolen
> http://www.hjemmesideskolen.dk/scripts/asppass/default.asp
>
> Men jeg får det ikke til at virke.

Jeg har netop prøvet at konstruere et sådant login efter den omtalte
opskrift - og det virkede med det samme.

Jeg har vedlagt filerne i zippen med databasen:

http://hjemmesideskolen.dk/files/login-mdb.zip

--
Med venlig hilsen
Erik Ginnerskov
http://hjemmesideskolen.dk - http://html-faq.dk
http://ginnerskov.frac.dk



Jens Gyldenkærne Cla~ (05-01-2005)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 05-01-05 00:37

Erik Ginnerskov skrev:

> Jeg har netop prøvet at konstruere et sådant login efter den
> omtalte opskrift - og det virkede med det samme.

Jeg har lige afprøvet din zip-fil på to forskellige webservere -
begge giver samme fejl som her i tråden.

Jeg mener stadig at der bør stå

   strAccessDB = "brugere.mdb"

- i stedet for

   strAccessDB = "brugere"

- i linje 11 i bruger.asp, men det ændrer ikke ved fejlen.

Lidt ekstra test viser at det er adgangskoden til databasen der
driller. Fjerner man den, virker det fint.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Erik Ginnerskov (05-01-2005)
Kommentar
Fra : Erik Ginnerskov


Dato : 05-01-05 01:07

Jens Gyldenkærne Clausen wrote:

> Jeg har lige afprøvet din zip-fil på to forskellige webservere -
> begge giver samme fejl som her i tråden.
>
> Jeg mener stadig at der bør stå
> strAccessDB = "brugere.mdb"
> - i stedet for
> strAccessDB = "brugere"
> - i linje 11 i bruger.asp, men det ændrer ikke ved fejlen.
>
> Lidt ekstra test viser at det er adgangskoden til databasen der
> driller. Fjerner man den, virker det fint.

Det vil jeg altsammen forske lidt i, når det bliver dag. Nu er det vist ved
at være puttesovetid.

--
Med venlig hilsen
Erik Ginnerskov
http://hjemmesideskolen.dk - http://html-faq.dk
http://ginnerskov.frac.dk



Ukendt (05-01-2005)
Kommentar
Fra : Ukendt


Dato : 05-01-05 11:14

> Lidt ekstra test viser at det er adgangskoden til databasen der
> driller. Fjerner man den, virker det fint.

Giver det ikke sikkerhedsmæssige problemer? Så alle kan ændre / læse
adgangskoder og brugernavne? Eller tager jeg fejl



Erik Ginnerskov (05-01-2005)
Kommentar
Fra : Erik Ginnerskov


Dato : 05-01-05 16:02

Jens Gyldenkærne Clausen wrote:

> Jeg har lige afprøvet din zip-fil på to forskellige webservere -
> begge giver samme fejl som her i tråden.
>
> Jeg mener stadig at der bør stå
>
> strAccessDB = "brugere.mdb"
>
> - i stedet for
>
> strAccessDB = "brugere"
>
> - i linje 11 i bruger.asp, men det ændrer ikke ved fejlen.
>
> Lidt ekstra test viser at det er adgangskoden til databasen der
> driller. Fjerner man den, virker det fint.

Mine tests viser, at det fungerer fint med dine foreslåede ændringer. De er
derfor indført, både i instruktionen og i zippen.

Men jeg undrer mig lidt over de problemer, andre har haft med det login. Det
har hele vejen fungeret helt upåklageligt - både lokalt (IIS på W2K) og på
Hjemmesideskolens webhotel (Azero - også Windows-baseret). Jeg har
beklageligvis ikke adgang til at teste det på en Linux, hverken lokalt eller
på nettet.

--
Med venlig hilsen
Erik Ginnerskov
http://hjemmesideskolen.dk - http://html-faq.dk
http://ginnerskov.frac.dk



Jens Gyldenkærne Cla~ (05-01-2005)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 05-01-05 16:21

Erik Ginnerskov skrev:

> Men jeg undrer mig lidt over de problemer, andre har haft med det login. Det
> har hele vejen fungeret helt upåklageligt - både lokalt (IIS på W2K) og på
> Hjemmesideskolens webhotel (Azero - også Windows-baseret).

Jeg har prøvet det på såvel en IIS5.0 (W2K) og en IIS6.0 (2003) - begge
steder virkede det ikke når der var adgangskode på databasen.

Jeg har ingen ide til hvorfor.

--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Ukendt (05-01-2005)
Kommentar
Fra : Ukendt


Dato : 05-01-05 18:31

"Jens Gyldenkærne Clausen" <jens@gyros.invalid> skrev i en meddelelse
news:rqnil1bg5nq6$.dlg@jcdmfdk.invalid...
> Erik Ginnerskov skrev:
>
>> Men jeg undrer mig lidt over de problemer, andre har haft med det login.
>> Det
>> har hele vejen fungeret helt upåklageligt - både lokalt (IIS på W2K) og
>> på
>> Hjemmesideskolens webhotel (Azero - også Windows-baseret).
>
> Jeg har prøvet det på såvel en IIS5.0 (W2K) og en IIS6.0 (2003) - begge
> steder virkede det ikke når der var adgangskode på databasen.

Tak til både Erik og Jens.

Nu virker det jo. Altså efter at have fjernet adgangskoden på databasen,
samt ændret "brugere" til "brugere.mdb"

Men jeg tænkte på denne linie i bruger.asp

strCon = "DRIVER={Microsoft Access Driver (*.mdb)};uid=;pwd=letmein; DBQ=" &
Server.MapPath(strAccessDB)

En anden her i gruppen satte spørgmålsmtegn ved uid, der var tomt, mens pwd
havde=oetmein.

Hvad gør dette? Skal "letmein" slettes?

/Michael



Yasser (05-01-2005)
Kommentar
Fra : Yasser


Dato : 05-01-05 18:38

Virker din nu da? må jeg se:) min virker ik:(
>Michael Sørensen wrote in dk.edb.internet.webdesign.serverside.asp:
> "Jens Gyldenkærne Clausen" <jens@gyros.invalid> skrev i en meddelelse
> news:rqnil1bg5nq6$.dlg@jcdmfdk.invalid...
> > Erik Ginnerskov skrev:
> >
> >> Men jeg undrer mig lidt over de problemer, andre har haft med det login.
> >> Det
> >> har hele vejen fungeret helt upåklageligt - både lokalt (IIS på W2K) og
> >> på
> >> Hjemmesideskolens webhotel (Azero - også Windows-baseret).
> >
> > Jeg har prøvet det på såvel en IIS5.0 (W2K) og en IIS6.0 (2003) - begge
> > steder virkede det ikke når der var adgangskode på databasen.
>
> Tak til både Erik og Jens.
>
> Nu virker det jo. Altså efter at have fjernet adgangskoden på databasen,
> samt ændret "brugere" til "brugere.mdb"
>
> Men jeg tænkte på denne linie i bruger.asp
>
> strCon = "DRIVER={Microsoft Access Driver (*.mdb)};uid=;pwd=letmein; DBQ=" &
> Server.MapPath(strAccessDB)
>
> En anden her i gruppen satte spørgmålsmtegn ved uid, der var tomt, mens pwd
> havde=oetmein.
>
> Hvad gør dette? Skal "letmein" slettes?
>
> /Michael
>
>


--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Jens Gyldenkærne Cla~ (05-01-2005)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 05-01-05 13:13

Michael Sørensen skrev:

> Giver det ikke sikkerhedsmæssige problemer? Så alle kan ændre
> / læse adgangskoder og brugernavne? Eller tager jeg fejl

I en simpel konfiguration som fx Eriks eksempel vil der være
problemer med sikkerheden. Hvis en bruger gætter navnet på
databasen (der her er valgt pædagogisk og ikke kryptisk), kan
vedkommende hente den og læse alle oplysninger.

Man kan imidlertid sikre sig på mange måder mod denne type fejl.
Først og fremmest kan man placere databasen uden for webscope - det
vil sige på en placering der ikke kan nås med en http-adresse. Det
er ikke sikkert at man kan bruge den metode på alle webhoteller,
men har man mulighed for at bruge den, bør man afgjort gøre det.

En anden måde at øge sikkerheden på er ved at give databasen et
navn man ikke umiddelbart kan gætte. Altså i stedet for at bruge
"database.mdb", "brugere.mdb", "db.mdb" etc. - så vælg
"db2005.01.05.mdb" eller lignende.

Endelig kan man sørge for at adgangskoder aldrig gemmes i klartekst
(se fx her: <http://asp-faq.dk/article/?id=52>). Det sikrer ikke
databasen, men det sikrer at man ikke kan hente folks adgangskoder
i databasen (og da mange erfaringsmæssigt bruger samme adgangskode
til flere systemer, er det en rigtig god ting(tm) at sikre dem godt
mod aflæsning.

I øvrigt så er en adgangskode på en Access-base kun en begrænset
sikkerhed - der findes programmer der kan bryde den slags ret let
(ved dog ikke om det også gælder nyeste Access-udgaver).
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Ukendt (05-01-2005)
Kommentar
Fra : Ukendt


Dato : 05-01-05 13:39

"Jens Gyldenkærne Clausen" <jens@gyros.invalid> skrev i en meddelelse
news:Xns95D586621998Djcdmfdk@gyrosmod.cybercity.dk...
> Michael Sørensen skrev:
>
>> Giver det ikke sikkerhedsmæssige problemer? Så alle kan ændre
>> / læse adgangskoder og brugernavne? Eller tager jeg fejl
>
> I en simpel konfiguration som fx Eriks eksempel vil der være
> problemer med sikkerheden. Hvis en bruger gætter navnet på
> databasen (der her er valgt pædagogisk og ikke kryptisk), kan
> vedkommende hente den og læse alle oplysninger.
>
> Man kan imidlertid sikre sig på mange måder mod denne type fejl.
> Først og fremmest kan man placere databasen uden for webscope - det
> vil sige på en placering der ikke kan nås med en http-adresse. Det
> er ikke sikkert at man kan bruge den metode på alle webhoteller,
> men har man mulighed for at bruge den, bør man afgjort gøre det.
>
> En anden måde at øge sikkerheden på er ved at give databasen et
> navn man ikke umiddelbart kan gætte. Altså i stedet for at bruge
> "database.mdb", "brugere.mdb", "db.mdb" etc. - så vælg
> "db2005.01.05.mdb" eller lignende.
>
> Endelig kan man sørge for at adgangskoder aldrig gemmes i klartekst
> (se fx her: <http://asp-faq.dk/article/?id=52>). Det sikrer ikke
> databasen, men det sikrer at man ikke kan hente folks adgangskoder
> i databasen (og da mange erfaringsmæssigt bruger samme adgangskode
> til flere systemer, er det en rigtig god ting(tm) at sikre dem godt
> mod aflæsning.
>
> I øvrigt så er en adgangskode på en Access-base kun en begrænset
> sikkerhed - der findes programmer der kan bryde den slags ret let
> (ved dog ikke om det også gælder nyeste Access-udgaver).

Okay. Tak for lærerig info



terje (05-01-2005)
Kommentar
Fra : terje


Dato : 05-01-05 20:43

Jens Gyldenkærne Clausen wrote:

> En anden måde at øge sikkerheden på er ved at give databasen et
> navn man ikke umiddelbart kan gætte. Altså i stedet for at bruge
> "database.mdb", "brugere.mdb", "db.mdb" etc. - så vælg
> "db2005.01.05.mdb" eller lignende.

Eller gi databasen et navn som gjør det umulig å laste den ned, f. eks.
"brugere.mdb.asp".

terje

Erik Ginnerskov (05-01-2005)
Kommentar
Fra : Erik Ginnerskov


Dato : 05-01-05 23:19

Jens Gyldenkærne Clausen wrote:

> Man kan imidlertid sikre sig på mange måder mod denne type fejl.
> Først og fremmest kan man placere databasen uden for webscope

Det ville jeg faktisk gernne have lavet med demo-basen til asp-login. Jeg
kan bare ikke lige se, hvordan jeg skal putte det ind (eller hvor).

Jeg bruger en anden access-database, der ligger ude af rækkevidde for
http-proceduren. Den kaldes med kommandoen:

tempConn = "Data
Source=d:\home\min_server\db\database.mdb;Provider=Microsoft.Jet.OLEDB.4.0;"

Ud fra det, har jeg forsøgt at ændre linjen

strAccessDB = "brugere.mdb"

til

strAccessDB = "d:\home\min_server\db\brugere.mdb"

.... men det virkede ikke - ingen login, bare meddelelse om, at jeg ikke
havde indtastet korrekt login

Den kan altså ikke se basen ude af webscope, men kigger i den lokale base,
hvor et ekstra login ikke var tilføjet - indtaster jeg et login, der ligger
i den lokale base, kan jeg godt komme ind.

--
Med venlig hilsen
Erik Ginnerskov
http://hjemmesideskolen.dk - http://html-faq.dk
http://ginnerskov.frac.dk



Yasser (05-01-2005)
Kommentar
Fra : Yasser


Dato : 05-01-05 15:53

Den er skam fin nok men når jeg logger ind siger den:
Error Type:
ADODB.Connection.1 (0x800A0BB9)
The application is using arguments that are of the wrong type, are out
of acceptable range, or are in conflict with one another.
/test/login-mdb/bruger.asp, line 17

og meget mere men synes det er det vigtigste? hvad kan der gøres mere?
Du kan evt. se den her http://alasady.dk/test/login-mdb/formular.asp
Brugernavn: Mig
Kode: Jamig
Prøv og se?
Håber i hjælper?
Ps. Øhm har webhotel i B-one.net
På forhånd Tak!

>Erik Ginnerskov wrote in dk.edb.internet.webdesign.serverside.asp:
> Michael Sørensen wrote:
> > Jeg har prøvet log-in systemet på hjemmesideskolen
> > http://www.hjemmesideskolen.dk/scripts/asppass/default.asp
> >
> > Men jeg får det ikke til at virke.
>
> Jeg har netop prøvet at konstruere et sådant login efter den omtalte
> opskrift - og det virkede med det samme.
>
> Jeg har vedlagt filerne i zippen med databasen:
>
> http://hjemmesideskolen.dk/files/login-mdb.zip
>
> --
> Med venlig hilsen
> Erik Ginnerskov
> http://hjemmesideskolen.dk - http://html-faq.dk
> http://ginnerskov.frac.dk
>
>


--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Jens Gyldenkærne Cla~ (05-01-2005)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 05-01-05 23:22

Yasser skrev:

> Virker din nu da? må jeg se:) min virker ik:(

Hej Yasser. Læs venligst <http://html.dk/nyhedsgrupper/usenet.asp>
- "Gælder der nogle regler for nyhedsgrupperne?"
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Ukendt (09-01-2005)
Kommentar
Fra : Ukendt


Dato : 09-01-05 22:55

Nyt problem med min log-in side

Fejlmeddelelsen:

Response objekt error 'ASP 0157 : 80004005'
Buffering On
/frejanet/index.asp, line 13
Buffering cannot be turned off once it is already turned on.

Linie 13 er en del af bakgear spærringen, som er direkte kopieret ind fra
http://www.hjemmesideskolen.dk/scripts/asppass/noreverse.asp

Bakgear spærringen er flg. kode

<%
Response.Buffer=False
Response.ExpiresAbsolute = #1980-01-01#
Response.AddHeader "pragma", "no-cache"
Response.AddHeader "cache-control", "no-cache"
Response.AddHeader "cache-control", "no-store"
Response.CacheControl = "Private"
%>

Og linie 13 er

Response.Buffer=False

Når bakgear spærringen ikke indsættes virker mit system fint. Hvad går galt.
Det er den selvsamme kode, som direkte tages fra hjemmesideskolen.

/Michael



adam ellesoe (21-01-2005)
Kommentar
Fra : adam ellesoe


Dato : 21-01-05 13:58


"Michael Sørensen" <webmaster_m-s SNABEL-A stofanet.dk> wrote in message
news:41e1a828$0$23063$ba624c82@nntp05.dk.telia.net...
> Nyt problem med min log-in side
>
> Fejlmeddelelsen:
>
> Response objekt error 'ASP 0157 : 80004005'
> Buffering On
> /frejanet/index.asp, line 13
> Buffering cannot be turned off once it is already turned on.
>
> Linie 13 er en del af bakgear spærringen, som er direkte kopieret ind fra
> http://www.hjemmesideskolen.dk/scripts/asppass/noreverse.asp
>
> Bakgear spærringen er flg. kode
>
> <%
> Response.Buffer=False
> Response.ExpiresAbsolute = #1980-01-01#
> Response.AddHeader "pragma", "no-cache"
> Response.AddHeader "cache-control", "no-cache"
> Response.AddHeader "cache-control", "no-store"
> Response.CacheControl = "Private"
> %>
>
> Og linie 13 er
>
> Response.Buffer=False
>
> Når bakgear spærringen ikke indsættes virker mit system fint. Hvad går
galt.
> Det er den selvsamme kode, som direkte tages fra hjemmesideskolen.
Det har noget at gøre med at buffring som standard er slået til og hvis der
afvikles asp kode inden Response.Buffer=False vil de modsige hinanden...
Men hvis du sætter:
<%
Response.ExpiresAbsolute = #1980-01-01#
Response.Expires=-1
'Response.Buffer=False
Response.CacheControl="No-cache"
Response.AddHeader "pragma", "no-cache"
Response.AddHeader "cache-control", "no-cache"



If Session("strLogin") = False or IsNull(Session("strLogin")) = True then
Response.Redirect"../../"
End If
%>
Burde det virke..






Jens Gyldenkærne Cla~ (05-01-2005)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 05-01-05 23:23

terje skrev:

> Eller gi databasen et navn som gjør det umulig å laste den
> ned, f. eks. "brugere.mdb.asp".

Den mulighed har jeg slet ikke tænkt på. Er ADO ligeglad med
filendelsen på databasen?
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

terje (06-01-2005)
Kommentar
Fra : terje


Dato : 06-01-05 02:30

Jens Gyldenkærne Clausen wrote:
> terje skrev:
>
>
>>Eller gi databasen et navn som gjør det umulig å laste den
>>ned, f. eks. "brugere.mdb.asp".
>
>
> Den mulighed har jeg slet ikke tænkt på. Er ADO ligeglad med
> filendelsen på databasen?

ADO bryr seg overhodet ingenting om filendelsen, den leser nok kun
memoryadresser og bytes, ihvertfall hva Access angår. Derfor er dette
sannsynligvis både den enkleste og mest effektive måten å sikre sin
database på.

terje

Jens Gyldenkærne Cla~ (05-01-2005)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 05-01-05 23:26

Michael Sørensen skrev:

> strCon = "DRIVER={Microsoft Access Driver
> (*.mdb)};uid=;pwd=letmein; DBQ=" & Server.MapPath(strAccessDB)
>
> En anden her i gruppen satte spørgmålsmtegn ved uid, der var
> tomt, mens pwd havde=oetmein.

Jeg prøvede også med uid=Admin (der vist er standardbrugeren på
Access) - men det hjalp ikke.

> Hvad gør dette? Skal "letmein" slettes?

Det er ikke nødvendigt, men det vil nok være en god ide alligevel.
Uid angiver bruger mens pwd angiver adgangskode. Når der ikke er
adgangskode på basen bliver de tilsyneladende bare ignoreret.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Yasser (06-01-2005)
Kommentar
Fra : Yasser


Dato : 06-01-05 09:41

Jeg har lige opdaget at man ik kan få ''.mdb'' format i b-one :( hvad
skal man så gør? kan der ikke gøres noget for at få den asp. login
system
>Jens GyldenkærneClausen wrote in
>dk.edb.internet.webdesign.serverside.asp:
> Michael Sørensen skrev:
>
> > strCon = "DRIVER={Microsoft Access Driver
> > (*.mdb)};uid=;pwd=letmein; DBQ=" & Server.MapPath(strAccessDB)
> >
> > En anden her i gruppen satte spørgmålsmtegn ved uid, der var
> > tomt, mens pwd havde=oetmein.
>
> Jeg prøvede også med uid=Admin (der vist er standardbrugeren på
> Access) - men det hjalp ikke.
>
> > Hvad gør dette? Skal "letmein" slettes?
>
> Det er ikke nødvendigt, men det vil nok være en god ide alligevel.
> Uid angiver bruger mens pwd angiver adgangskode. Når der ikke er
> adgangskode på basen bliver de tilsyneladende bare ignoreret.
> --
> Jens Gyldenkærne Clausen
> Svar venligst under det du citerer, og citer kun det der er
> nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
> hvordan på http://usenet.dk/netikette/citatteknik.html


--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Jens Gyldenkærne Cla~ (06-01-2005)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 06-01-05 12:32

Yasser skrev:

> Jeg har lige opdaget at man ik kan få ''.mdb'' format i b-one

Yasser - du er flere gange blevet opfordret til at følge netiketten. Når
du benytter html.dk er du underlagt deres regler for brug af
nyhedsgrupperne. En af disse er at man respekterer netiketten.

For sidste gang - læs venligt <http://html.dk/nyhedsgrupper/usenet.asp>.
Spørg hvis der er noget du er i tvivl om, men forvent ikke at få flere
svar herfra før du viser at du har forsøgt at ændre din skrivestil.

--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Jens Gyldenkærne Cla~ (05-01-2005)
Kommentar
Fra : Jens Gyldenkærne Cla~


Dato : 05-01-05 23:40

Erik Ginnerskov skrev:

> strAccessDB = "d:\home\min_server\db\brugere.mdb"

I så fald skal du ikke bruge Server.MapPath på strAccessDB.

Havde du så også placeret brugere.mdb på den angivne destination?

Husk i øvrigt man ikke ændrer noget sikkerhedsmæssigt hvis man bare
angiver stien direkte ("D:\home...") i stedet for med
server.mappath. Pointen er at man skal bruge en placering der _kun_
kan nås via en stiangivelse på serveren - og altså ikke kan ændres
til en http-adresse.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

Erik Ginnerskov (06-01-2005)
Kommentar
Fra : Erik Ginnerskov


Dato : 06-01-05 17:30

Jens Gyldenkærne Clausen wrote:

>> strAccessDB = "d:\home\min_server\db\brugere.mdb"
>
> I så fald skal du ikke bruge Server.MapPath på strAccessDB.

Det lurer jeg lidt på.

> Havde du så også placeret brugere.mdb på den angivne destination?

Ja, ellers ville jeg ikke forvente at kunne tilgå databasen i den mappe.

> Husk i øvrigt man ikke ændrer noget sikkerhedsmæssigt hvis man bare
> angiver stien direkte ("D:\home...") i stedet for med
> server.mappath. Pointen er at man skal bruge en placering der _kun_
> kan nås via en stiangivelse på serveren - og altså ikke kan ændres
> til en http-adresse.

Min server er - set fra absolut rod - bestykket med to mapper, 'db' og
'www'. 'www' er root for alt det, der kan tilgås med en http-protokol. 'db'
er beregnet til at lægge databaser i - vel ude af uvedkommendes rækkevidde.

Min gæstebog bruger en database i mappen 'db', kaldt med den kommando, som
jeg viste i forrige indlæg. Kommandoen ligger i et asp-script, så
almindelige brugere ser ikke kommandoen og dermed heller ikke stien til
databasen.



Søg
Reklame
Statistik
Spørgsmål : 177548
Tips : 31968
Nyheder : 719565
Indlæg : 6408803
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste