---

Jeg er ved at opbygge et bruger login men hvordan gør jeg det sikkert så
ikke det kan snydes. Med nedestående kode kontrollere jeg et brugernavn og
password i min database og findet den en bruger med oplysningerne sætter jeg
Session("login") til "1". Dvs. er Session("login") ikke lig "1" så er man
ikke logget ind.

Er det den "rigtige" måde og en sikker nok måde både at beskytte brugerens
oplysninger og beskytte mod uønsket adgang?

/Magnus


SQL = "Select username, password FROM Users WHERE username='" &
request.form("username") & "' AND password='" & request.form("password")
Set RS = conn.execute(SQL)

If (RS.BOF OR RS.EOF) Then
Session("login")=0
Session("lastlogin")=""
else
Session("login")="1"
Session("userid")=RS("userid")
Session("lastlogin")=RS("lastlogin")
end if

---

Magnus skrev:

> SQL = "Select username, password FROM Users WHERE username='"
> & request.form("username") & "' AND password='" &
> request.form("password")

Ovenstående er ikke sikret mod sql-injection. Man bør aldrig bruge
formværdier i en sql-sætning uden validering. Se hvorfor og hvordan
man kan sikre sig her: <http://asp-faq.dk/article/?id=95>.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

Ja det var også meningen men hvad vil være den bedste måde helt at sikre sig
for sådannne "fejl"?

Hvad hvis jeg startede med kun at tillader tal og bogstaver i brugernavn,
password og ingen tegn eller mellemrum?
Så vil jeg gennemløbe brugernavn og password tegn for tegn og sikre mig at
det enten er tal eller bogstav.

Vil det ikke være en 100% sikker måde i forhold til det problemer der
beskrives i artiklen?

Er der ellers nogen faldgrupper?

/Magnus


>> SQL = "Select username, password FROM Users WHERE username='"
>> & request.form("username") & "' AND password='" &
>> request.form("password")
>
> Ovenstående er ikke sikret mod sql-injection. Man bør aldrig bruge
> formværdier i en sql-sætning uden validering. Se hvorfor og hvordan
> man kan sikre sig her: <http://asp-faq.dk/article/?id=95>.

---

Magnus skrev:

> Ja det var også meningen men hvad vil være den bedste måde helt at
> sikre sig for sådannne "fejl"?

Brug den funktion der er beskrevet i artiklen.


> Hvad hvis jeg startede med kun at tillader tal og bogstaver i
> brugernavn, password og ingen tegn eller mellemrum?


Det er ikke nødvendigt - bare man sikrer sig mod injection (hvad man
under alle omstændigheder bør gøre).

NB: Læs gerne min signatur.

--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

Jens Gyldenkærne Clausen skrev:
> Se hvorfor og hvordan man kan sikre sig her:
> <http://asp-faq.dk/article/?id=95>.

Hej Jens,

Jeg ser lige at et af linkene i bunden er flyttet.
<URL:http://www.sqlsecurity.com/faq-inj.asp>
bør rettes til
<URL:http://www.sqlsecurity.com/FAQs/SQLInjectionFAQ/tabid/56/Def
ault.aspx>

Det kan du sikkert klare

mvh Torben

---

Torben Brandt skrev:

> Jeg ser lige at et af linkene i bunden er flyttet.
> <URL:http://www.sqlsecurity.com/faq-inj.asp>
> bør rettes til
> <URL:http://www.sqlsecurity.com/FAQs/SQLInjectionFAQ/tabid/56/Def
> ault.aspx>

Ovenstående side er ikke aktiv pt (og hovedsiden,
www.sqlsecurity.com) står som "Under Construction". Jeg giver det
lige et par dage - hvis den kommer op igen, skal jeg nok ændre
linket.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

Magnus wrote:
> Jeg er ved at opbygge et bruger login men hvordan gør jeg det sikkert så
> ikke det kan snydes. Med nedestående kode kontrollere jeg et brugernavn og
> password i min database og findet den en bruger med oplysningerne sætter jeg
> Session("login") til "1". Dvs. er Session("login") ikke lig "1" så er man
> ikke logget ind.

Ville det ikke være rart samtidig at vide hvem det er, der er logget
ind? Du kan bare sætte Session("login") til brugernavnet på den bruger,
der er logget ind. Hvis værdien ikke er sat, er der ikke logget ind.

Mvh. Michael.
--
Which is more dangerous? TV guided missiles or TV guided families?
Visit my home page at http://michael.zedeler.dk/
Get my vcard at http://michael.zedeler.dk/vcard.vcf

---

spintail skrev:

> Jeg har også lige et link som måske kan bidrage:
>
> http://activedeveloper.dk/artikler/default.asp?articleid=180

Hvem svarer du og hvad svarer du på? Det er svært at se når du ikke
citerer noget. Læs gerne min signatur.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

Hejsa
Jeg har også lige et link som måske kan bidrage:

http://activedeveloper.dk/artikler/default.asp?articleid=180

Allan

---

>Hvem svarer du og hvad svarer du på? Det er svært at se når du ikke
>citerer noget. Læs gerne min signatur.

Sorry prøver lige igen så...


@magnus
>Jeg er ved at opbygge et bruger login men hvordan gør jeg det sikkert så
>ikke det kan snydes

Måske du kan bruge dette link.

http://activedeveloper.dk/artikler/default.asp?articleid=180

MvH
Allan