---

Hej Alle.

I et Acces dokument (2003) er der to kolonner navngivet
"Password" og "Brugernavn", som selvfølgelig hører sammen.
Tabellen de er i hedder "personer". Via Form.Request får jeg fat
i brugerens "login navn", som indtastes på en anden side. Dette
navn svarer til kolonnen "Brugernavn" i mit acces-dokument. Så ud
fra brugerens "login navn" vil jeg have fat i det tilsvarende
"password" i mit acces-dokument. Min kode er:

<%
   Bruger = Request.Form("login")
                     
Set Conn = Server.CreateObject("ADODB.Connection")
DSN = "DRIVER={Microsoft Access Driver (*.mdb)}; "
DSN = DSN & "DBQ=" & Server.MapPath("/data.mdb")
Conn.Open DSN
                        ' SQL forespørgsel

strSQL = " Select * From personer Where Brugernavn
= Bruger "

   ' Udfør forespørgsel (rs indeholder nu resultatet)

Set rs = Conn.Execute(strSQL)


' Udskriv værdien af kolonnen password
                  Response.Write rs("password")


' Luk databaseforbindelse
Conn.Close
Set Conn = Nothing
%>

Fejlmeddelelsen er som følger:

"Fejltype:
Microsoft OLE DB Provider for ODBC Drivers (0x80040E10)
[Microsoft][ODBC Microsoft Access-driver] Der er for få
parametre. Der var ventet 1.
/login2.asp, line 75"

Linie 75: "Set rs = Conn.Execute(strSQL)"

Håber I kan hjælpe.

Mvh Kenneth


--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Phecdaret skrev:
> Hej Alle.
>
> I et Acces dokument (2003) er der to kolonner navngivet
> "Password" og "Brugernavn", som selvfølgelig hører sammen.
> Tabellen de er i hedder "personer". Via Form.Request får jeg fat
> i brugerens "login navn", som indtastes på en anden side. Dette
> navn svarer til kolonnen "Brugernavn" i mit acces-dokument. Så ud
> fra brugerens "login navn" vil jeg have fat i det tilsvarende
> "password" i mit acces-dokument. Min kode er:
>
> <%
>    Bruger = Request.Form("login")
>                      
> Set Conn = Server.CreateObject("ADODB.Connection")
> DSN = "DRIVER={Microsoft Access Driver (*.mdb)}; "
> DSN = DSN & "DBQ=" & Server.MapPath("/data.mdb")
> Conn.Open DSN
>                         ' SQL forespørgsel
>
> strSQL = " Select * From personer Where Brugernavn
> = Bruger "
>
>    ' Udfør forespørgsel (rs indeholder nu resultatet)
>
> Set rs = Conn.Execute(strSQL)
>
>
> ' Udskriv værdien af kolonnen password
>                   Response.Write rs("password")
>
>
> ' Luk databaseforbindelse
> Conn.Close
> Set Conn = Nothing
> %>
>
> Fejlmeddelelsen er som følger:
>
> "Fejltype:
> Microsoft OLE DB Provider for ODBC Drivers (0x80040E10)
> [Microsoft][ODBC Microsoft Access-driver] Der er for få
> parametre. Der var ventet 1.
> /login2.asp, line 75"
>
> Linie 75: "Set rs = Conn.Execute(strSQL)"
>
> Håber I kan hjælpe.
>
> Mvh Kenneth
>
>

Med dokument mener du vel database ?? Dit SQL udtryk skal se sådan ud:

strSQL = "Select * From personer Where Brugernavn = '" & Bruger & "';"

Det er altid en god ide under test at udskrive værdien af SQL udtrykket
f. eks.

response.write "SQL: " & strSQL & "<br>"

Når du har set det virke kan du udkommentere linien.
Med venlig hilsen

Tom Jensen
- Læs mere om asp og databaser her -
www.ffsoft.dk

---

Hej Tom.

Tak for dit svar - det virker nu. Jeg manglede at sætte et "gåsetegn".
Det kostede mig så 3 timer, men nu virker det Så kan jeg fortsætte
udviklingen af mit log-in sytem. Mon ikke jeg havner i problemer igen

Mvh Kenneth

--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

On 05 Aug 2006 22:22:46 GMT, Phecdaret <phecdaret@gmail.com> wrote:

>Tak for dit svar - det virker nu. Jeg manglede at sætte et "gåsetegn".
>Det kostede mig så 3 timer, men nu virker det Så kan jeg fortsætte
>udviklingen af mit log-in sytem. Mon ikke jeg havner i problemer igen

Husk, at det er en rigtig dårlig idé at gemme passwords i klar tekst i
din database - både af hensyn til dig selv og til dine brugere.
Brug altid en form for "kryptering" (hashing), så hverken du eller
andre kan læse folks passwords direkte.


Good luck!

--
Jørn Andersen,
Brønshøj

---

> Husk, at det er en rigtig dårlig idé at gemme passwords i klar tekst i
> din database - både af hensyn til dig selv og til dine brugere.
> Brug altid en form for "kryptering" (hashing), så hverken du eller
> andre kan læse folks passwords direkte.

Hej Jørn

Jeg tidligere tænkt over problematikken i, at jeg kan se andres kodeord.
Desværre er jeg nybegynder og er lidt blank på dette område. Hvad er hashing?
Ved du hvor jeg kan læse om kryptering i min database? Eller du har måske
selv et par tricks

Mvh Kenneth


--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

On 06 Aug 2006 11:25:18 GMT, Phecdaret <phecdaret@gmail.com> wrote:

>Jeg tidligere tænkt over problematikken i, at jeg kan se andres kodeord.
>Desværre er jeg nybegynder og er lidt blank på dette område. Hvad er hashing?

Wikipedia har en udmærket forklaring:
<url: http://da.wikipedia.org/wiki/Hashfunktion>

Det interessante i vores tilfælde er, at man *ikke* (i praksis) kan
finde tilbage fra den hashede værdi til det oprindelige ord.

Til gengæld vil man entydigt kunne sige, at hvis to ord har samme
hash-resultat, så er de to ord også ens.

>Ved du hvor jeg kan læse om kryptering i min database? Eller du har måske
>selv et par tricks

Det behøver ikke være så svært. Det der er brug for, er en funktion,
der:
1) hasher passwordet, inden det gemmes i databasen
2) hasher brugerens indtastning ved login

Denne funktion kunne hedde MD5 eller SHA1 (som er dem, jeg har set
tilgængelige til ASP-brug).

Man sammenligner så bare de to (hashede) værdier. Dette gøres nemmest
i databasen:
strBruger = Request.Form("bruger")
(+ noget validering af om der er "ulovlige" tegn etc.)
strPassword = Request.Form("password")
strMd5Password = MD5(strPassword)
(Her er der ingen grund til validering, da MD5 smadrer ethvert forsøg
på SQL-injection o.l.)

strSql = "SELECT felt1, felt2 FROM brugerbase WHERE brugernavn = '" &
strBruger & "' AND password = '" & strMd5Password & "';"
(på én linie).

Hvis der er et resultat er brugeren godkendt:
If objRs.Eof Then
' Ingen bruger
Else
' Bruger OK
' Her kan evt. udlæses andre opl. om brugeren (felt1, felt2).
End If

Det eneste spørgsmål der er tilbage er så, hvor du finder en MD5 eller
SHA1-funktion? Se:
<url: http://www.asp-faq.dk/article/?id=52>
- som jeg først fandt efter at jeg havde skrevet resten. Så der er nok
lidt overlap. - Så kan man måske lære at kigge i FAQ'en først


Good luck!

--
Jørn Andersen,
Brønshøj

---

"Tom Jensen" <xx@xx.xx> skrev i en meddelelse
news:12da4nlk90ska44@corp.supernews.com...
> Phecdaret skrev:
> > Hej Alle.
> >
> > I et Acces dokument (2003) er der to kolonner navngivet
> > "Password" og "Brugernavn", som selvfølgelig hører sammen.
> > Tabellen de er i hedder "personer". Via Form.Request får jeg fat
> > i brugerens "login navn", som indtastes på en anden side. Dette
> > navn svarer til kolonnen "Brugernavn" i mit acces-dokument. Så ud
> > fra brugerens "login navn" vil jeg have fat i det tilsvarende
> > "password" i mit acces-dokument. Min kode er:
> >
> > <%
> > Bruger = Request.Form("login")
> >
> > Set Conn = Server.CreateObject("ADODB.Connection")
> > DSN = "DRIVER={Microsoft Access Driver (*.mdb)}; "
> > DSN = DSN & "DBQ=" & Server.MapPath("/data.mdb")
> > Conn.Open DSN
> > ' SQL forespørgsel
> >
> > strSQL = " Select * From personer Where Brugernavn
> > = Bruger "
> >
> > ' Udfør forespørgsel (rs indeholder nu resultatet)
> >
> > Set rs = Conn.Execute(strSQL)
> >
> >
> > ' Udskriv værdien af kolonnen password
> > Response.Write rs("password")
> >
> >
> > ' Luk databaseforbindelse
> > Conn.Close
> > Set Conn = Nothing
> > %>
> >
> > Fejlmeddelelsen er som følger:
> >
> > "Fejltype:
> > Microsoft OLE DB Provider for ODBC Drivers (0x80040E10)
> > [Microsoft][ODBC Microsoft Access-driver] Der er for få
> > parametre. Der var ventet 1.
> > /login2.asp, line 75"
> >
> > Linie 75: "Set rs = Conn.Execute(strSQL)"
> >
> > Håber I kan hjælpe.
> >
> > Mvh Kenneth
> >
> >
>
> Med dokument mener du vel database ?? Dit SQL udtryk skal se sådan ud:
>
> strSQL = "Select * From personer Where Brugernavn = '" & Bruger & "';"
>

Bare sådan lidt for sjov....
Hvad nu hvis :

Request.Form("login") = "Hansemand ' drop table personer " ?

eller

Request.Form("login") = "Hansemand ' or 1=1--" ?


> Det er altid en god ide under test at udskrive værdien af SQL udtrykket
> f. eks.
>
> response.write "SQL: " & strSQL & "<br>"
>
> Når du har set det virke kan du udkommentere linien.
> Med venlig hilsen
>
> Tom Jensen
> - Læs mere om asp og databaser her -
> www.ffsoft.dk


Du har i det mindste slået fejlmeddelserne fra, på serveren
hvor din egen hjemmeside ligger. ;)

Med venlig hilsen
Michael Weber

---

Michael Weber skrev:

> Bare sådan lidt for sjov....
> Hvad nu hvis :
>
> Request.Form("login") = "Hansemand ' drop table personer " ?
>
> eller
>
> Request.Form("login") = "Hansemand ' or 1=1--" ?

SQL injections?? Det kommer an på hvilken database der bruges !!
Access forstår kun en ting af gangen og jeg mener at MSSQL kan tage
flere kommandoer ad gangen, men de skal være adskilt af semikolon.
I øvrigt er det jo "bare" at validere brugerens indtastning.
Et brugernavn kan jo sættes til at have en bestemt længde og kun
være bogstaver og for et password kan der osse være et bestemt mønster.

> Du har i det mindste slået fejlmeddelserne fra, på serveren
> hvor din egen hjemmeside ligger. ;)

Har du prøvet at lavet SQL injections på min hjemmeside??

Med venlig hilsen

Tom Jensen
- Læs mere om asp og databaser her -
www.ffsoft.dk

---

"Tom Jensen" <xx@xx.xx> skrev i en meddelelse
news:12dbel18ah37mb4@corp.supernews.com...
> Michael Weber skrev:
>
> > Bare sådan lidt for sjov....
> > Hvad nu hvis :
> >
> > Request.Form("login") = "Hansemand ' drop table personer " ?
> >
> > eller
> >
> > Request.Form("login") = "Hansemand ' or 1=1--" ?
>
> SQL injections?? Det kommer an på hvilken database der bruges !!
> Access forstår kun en ting af gangen og jeg mener at MSSQL kan tage
> flere kommandoer ad gangen, men de skal være adskilt af semikolon.
> I øvrigt er det jo "bare" at validere brugerens indtastning.
> Et brugernavn kan jo sættes til at have en bestemt længde og kun
> være bogstaver og for et password kan der osse være et bestemt mønster.
>
> > Du har i det mindste slået fejlmeddelserne fra, på serveren
> > hvor din egen hjemmeside ligger. ;)
>
> Har du prøvet at lavet SQL injections på min hjemmeside??

Nej.

>
> Med venlig hilsen
>
> Tom Jensen
> - Læs mere om asp og databaser her -
> www.ffsoft.dk

Lige for at præcisere :
Jeg har ingen interesse i at ødelægge andres ting.
Jeg påpeger blot problematikken omkring at concat´e en sql-sætning
uden validering af input.

Med venlig hilsen
Michael Weber

---

> Bare sådan lidt for sjov....
> Hvad nu hvis :
>
> Request.Form("login") = "Hansemand ' drop table personer " ?
>
> eller
>
> Request.Form("login") = "Hansemand ' or 1=1--" ?

Hej Michael.

Som jeg har skrevet til Jørn længere nede, så er jeg stadig nybegynder, og
jeg er ikke sikker på, at jeg har forstået ovenstående korrekt. Jeg ved
ikke hvad "drop table personer " og "1=1--" betyder, men er din pointe
ikke, at jeg får problemer, hvis nogle indtaster et login, som ikke står i
min database? For det er lige præcis det problem, jeg har nu!!! Jeg får
bare smidt en fejlmeddelse i hovedet, hvis den ikke gendekender login og
password. Har du nogle forslag til, hvordan jeg løser problemet? Hvordan
forklarer jeg computeren, hvad den skal gøre, hvis brugernavn og password
ikke eksisterer?!

Kunne ASP.NET være en løsning? Har læst lidt om validering i en tutorial,
men kan ikke anvende det i min problemstilling.



> Du har i det mindste slået fejlmeddelserne fra, på serveren
> hvor din egen hjemmeside ligger. ;)

Slået fejlmeddelser fra?!! Hvis jeg har gjort det, er det gjort ubevidst.
Synes nu jeg får rigeligt med fejlmeddelser i øjeblikket

Mvh Kenneth


--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

On 06 Aug 2006 11:38:26 GMT, Phecdaret <phecdaret@gmail.com> wrote:

>> Bare sådan lidt for sjov....
>> Hvad nu hvis :
>>
>> Request.Form("login") = "Hansemand ' drop table personer " ?
>>
>> eller
>>
>> Request.Form("login") = "Hansemand ' or 1=1--" ?
>
>Hej Michael.
>
>Som jeg har skrevet til Jørn længere nede, så er jeg stadig nybegynder, og
>jeg er ikke sikker på, at jeg har forstået ovenstående korrekt. Jeg ved
>ikke hvad "drop table personer " og "1=1--" betyder, men er din pointe
>ikke, at jeg får problemer, hvis nogle indtaster et login, som ikke står i
>min database?

Nej, hans pointe er, at ondsindede (eller blot nysgerrige) personer
kan indtaste nogle bestemte ting, som får et (for dig) uventet
resultat. Se en udmærket forklaring (og løsning):
<url: http://www.asp-faq.dk/article/?id=95>

'DROP TABLE' er vistnok en MSSQL-ting, som får databasen til at slette
tabellen
'OR 1=1' er jo altid sand, så uanset hvilke andre betingelser, der er
skrevet, vil det altid være sandt. Hvis du bruger en "SELECT ..." med
den betingelse, vil du få udlæst alt. Måske værre: Hvis du skriver
"DELETE ...", får du slettet alt.

>For det er lige præcis det problem, jeg har nu!!! Jeg får
>bare smidt en fejlmeddelse i hovedet, hvis den ikke gendekender login og
>password. Har du nogle forslag til, hvordan jeg løser problemet? Hvordan
>forklarer jeg computeren, hvad den skal gøre, hvis brugernavn og password
>ikke eksisterer?!

Du har:
strSql = "SELECT ..."
Set rs = osv.

Hvis der så er indtastet noget forkert, får du formentlig fejl, når du
skriver:
Response.Write rs("password")
for der eksisterer jo ikke noget.

Så derfor skal man altid checke for, om der er indhold i
record-sættet:

Set rs = osv.
If rs.Eof Then
' Record-sættet er tomt
Else
Response.Write rs("password") osv.
End If

rs.Eof: Eof betyder "End of file" - altså om cursoren står "efter den
sidste post" i record-sættet. Hvis den gør det allerede ved starten,
er der ingen poster.


NB: Husk at det ikke kun er din Conn, men også dit rs, der skal lukkes
og slukkes:
rs.Close
Set rs = Nothing
Conn.Close
Set Conn = Nothing

>Kunne ASP.NET være en løsning? Har læst lidt om validering i en tutorial,
>men kan ikke anvende det i min problemstilling.

ASP.Net er sikkert udmærket. Det har flere muligheder og er mere
fremtidssikret. Men du slipper ikke for at lære det, og de ting, du
umiddelbart vil, kan du sagtens gøre i "traditionel" ASP.


Good luck!

--
Jørn Andersen,
Brønshøj

---

"Phecdaret" <phecdaret@gmail.com> skrev i en meddelelse
news:44d5d4b2$0$15793$14726298@news.sunsite.dk...
> > Bare sådan lidt for sjov....
> > Hvad nu hvis :
> >
> > Request.Form("login") = "Hansemand ' drop table personer " ?
> >
> > eller
> >
> > Request.Form("login") = "Hansemand ' or 1=1--" ?
>
> Hej Michael.
>
> Som jeg har skrevet til Jørn længere nede, så er jeg stadig nybegynder, og
> jeg er ikke sikker på, at jeg har forstået ovenstående korrekt. Jeg ved
> ikke hvad "drop table personer " og "1=1--" betyder, men er din pointe
> ikke, at jeg får problemer, hvis nogle indtaster et login, som ikke står i
> min database? For det er lige præcis det problem, jeg har nu!!! Jeg får
> bare smidt en fejlmeddelse i hovedet, hvis den ikke gendekender login og
> password. Har du nogle forslag til, hvordan jeg løser problemet? Hvordan
> forklarer jeg computeren, hvad den skal gøre, hvis brugernavn og password
> ikke eksisterer?!
>
> Kunne ASP.NET være en løsning? Har læst lidt om validering i en tutorial,
> men kan ikke anvende det i min problemstilling.
>
>
>
> > Du har i det mindste slået fejlmeddelserne fra, på serveren
> > hvor din egen hjemmeside ligger. ;)
>
> Slået fejlmeddelser fra?!! Hvis jeg har gjort det, er det gjort ubevidst.
> Synes nu jeg får rigeligt med fejlmeddelser i øjeblikket
>
> Mvh Kenneth
>
>
> --
> Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
> - Pædagogiske tutorials på dansk
> - Kom godt i gang med koderne
> KLIK HER! => http://www.html.dk/tutorials


Nedenstående script illustrere forskellen mellem at bruge parametre i en sql
og samle en sql-streng.
Parametre bruges på samme måde som i .Net og efter samme princip.
Din variabel "Bruger" kan du prøve at sætte til et korrekt brugernavn eller
et forkert som f.eks. "b' or '1=1"

Du kan se scriptet i brug her :
http://michaelweber.dk/sql/sql_injection_test.asp

Med venlig hilsen
Michael Weber


Når du kopiere koden over i en asp-fil, skal du lige holde øje med
linje-ombrydningerne.
Gem følgende som en asp-fil placere den på din server :

<% @ LANGUAGE="VBSCRIPT" %>
<% Option Explicit %>
<!--METADATA TYPE="typelib" uuid="00000205-0000-0010-8000-00AA006D2EA4" -->
<HTML>
<HEAD>
<TITLE>SQL Injection test</TITLE>
</HEAD>

<BODY>
<%
'---------------------------------------------------------------------------
----------------
' Prøver først at hente password ud fra databasen ved hjælp af ADO´s
parametre.

dim command, conn, strSQL, connectionString, rs, Bruger

' Prøv at sætte den øverste bruger til et korrekt brugernavn og fjern
udkommenteringen og
' udkommentere den anden Bruger.
'Bruger = "KorrektBrugernavn"
Bruger = "b' or '1=1"


response.write "Brugeren har indtastet følgende brugernavn i et inputfelt i
din form : <b>" & Bruger &"</b><br><br><br>"

' Streng til database
connectionString = Server.MapPath("/data.mdb")

' Instantiere et ADO Connection-objekt.
Set conn = server.createobject("ADODB.connection")

' Definere Driver
conn.Provider = "Microsoft.Jet.OLEDB.4.0"

' Be´r ADO-Objektet om at skabe
' forbindelse til DB´en defineret i connectionString
conn.open connectionString

' Instantiere et ADO Command-objekt.
Set command= Server.CreateObject("ADODB.Command")

' Be´r Command-objektet om at benytte conn-objektet
' som forbindelse.
Set command.ActiveConnection = conn

' Definer en streng med sql og indsætter ? (spørgsmålstegn)
' der hvor Parametre skal indsættes.
strSQL ="Select * from personer where Brugernavn=?"

' Sætter sql-strengen som det, command-objektet skal udføre.
command.CommandText=strSQL

' Fortæller command-objektet at vi vil genbruge command-objektet
' igen og databasen skal gemme den første Execution-plan
command.Prepared=true

' Tilføjer parametre til command-objektet.
command.Parameters.Append
command.CreateParameter("Brugernavn",adVarchar,,255,adParamInput)
command("Brugernavn")=Bruger
Set rs = command.Execute

response.write "<b>Resultat ved brug af parametre i SQL-sætningen</b>
:<br>"

if rs.BOF = false then
do

response.write rs("password") & "<br>"
rs.MoveNext

loop while not rs.EOF
response.write "<br><br><br>"
else
response.write "Brugeren findes ikke.<br><br><br>"
end if

conn.close

'---------------------------------------------------------------------------
--
' Førsøger at hente password fra databasen med samme input fra før.
' Denne gang opbygges der en sql-streng.


response.write "<b>Resultat ved brug af SQL-streng</b> :<br>"

' Her samles sql-strengen med inputtet gemt i variablen Bruger
strSQL = " Select * From personer Where Brugernavn ='"& Bruger &"'"

conn.Provider = "Microsoft.Jet.OLEDB.4.0"

conn.open
Set rs = conn.Execute(strSQL)

if rs.BOF = false then
response.write "Der er fundet følgende passwords i databasen :<br>"
do

response.write rs("password") & "<br>"
rs.MoveNext

loop while not rs.EOF
response.write "SQL-sætningen der blev sent til databasen var :<br><b>
"&strSQL&"</b>"
else

response.write "Brugeren findes ikke når der bruges parametre i
sql-forespørgslen."
end if

conn.close


%><BR>

</BODY>
</HTML>

---

Normalt er jeg temmelig ambitiøs til hverdag, men jeg skal love for,
at det er noget af et projekt, jeg har sat mig for med min
hjemmeside denne gang

Tak for jeres svar - det har helt sikkert hjulpet mig videre (og
givet mig beskæftigelse de næste par dage)

Det er fedt med Nyhedsgruppen - kunne ikke have lavet min hjemmeside
uden





--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials