script login

[robert965]

tempo fa ho fatto questo:

<%
Dim SQL, pippo, ciccio, kiave

kiave=request.form("login")&"|"&request.form("pass word")

if kiave = "" then

response.redirect"vai dove vuoi"
else



strConn="Provider=Microsoft.Jet.OLEDB.4.0;Data Source="& Server.MapPath("mdb-database/nomedatabase.mdb")
Set Conn=Server.CreateObject("ADODB.connection")

Conn.Open StrConn

SQL="SELECT * FROM logpas where kia="&"'"&kiave&"'"

Set rs = Server.CreateObject("ADODB.Recordset")

rs.Open SQL, conn
if rs.eof<>false then
response.redirect"vai dove vuoi"
rs.close
set rs =nothing
conn.close
set conn = nothing


else
do until rs.eof =TRUE
popo=rs("kia")
vai=rs("pagina")

RS.MOVENEXT
loop
if popo= kiave then

server.Execute (vai)
rs.close
set rs =nothing
conn.close
set conn = nothing

else
response.redirect "vai dove vuoi"
rs.close
set rs =nothing
conn.close
set conn = nothing
end if
end if
end if
%>

secondo voi è da buttare?

[Roby_72]

Originariamente inviato da robert965
secondo voi è da buttare?

Che razza di domande sono?
E' senz'altro migliorabile ma quale sarebbe il problema? Oppure vuoi solo un giudizio?

Roby

[robert965]

scusa ma vado sempre di corsa
lo script funziona
ma non essendo un genio di asp, e avendolo scrittodal nulla.
volevo un giudizio.
e ovviamente consigli.
secondo voi protegge veramente?
come migliorarlo
grazie

[Roby_72]

1) Solitamente user e password sono due campi diversi
2) Si effettua la replace per evitare che immettendo gli apici la query vada in errore o addirittura consenta la SQL injection
3) Prima di redirect o Execute ad altre pagine tutti gli oggetti devono essere preventivamente chiusi

Mi sembra il minimo per ora...

Roby

[robert965]

grazie Roby_72
provvederò

[robert965]

cavolo quando hai parlato di apici, mi sono reso conto di aver preso lo script errato, ecco quello giusto, con md5 ma sempre nello stesso campo


<%
Dim SQL, pippo, ciccio, kiave
ni=Replace(Request.Form("nick"), "'", "''")
pp=Replace(Request.Form("password"), "'", "''")

kiave=ni &"|"& pp
kiave=MD5(kiave)
if request.form("nick")="" and request.Form("password")="" then




else



strConn="Provider=Microsoft.Jet.OLEDB.4.0; Data Source="& Server.MapPath("mdb-database/loggate.mdb")& ";Jet OLEDBatabase Password=quello che vuoi;"


Set Conn=Server.CreateObject("ADODB.connection")

Conn.Open StrConn

SQL="SELECT * FROM tbloggate where nicpass="&"'"&kiave&"'"

Set rs = Server.CreateObject("ADODB.Recordset")

rs.Open SQL, conn

do until rs.eof =TRUE
popo=rs("nicpass")
vai=rs("pagina")
sessione=rs("mail")
RS.MOVENEXT
loop
if popo= kiave then
session("idid")=sessione
response.Redirect(vai)
rs.close
set rs =nothing
conn.close
set conn = nothing
else

response.Redirect("xxx/registrazione.asp")


end if
end if
%>

[Roby_72]

Va beh non cambia molto...

Roby

[robert965]

bè la replace c'è.
ma può andare?
o è da rifare secondo te?

[Roby_72]

Nella SELECT non estrai un solo record?
Se è così non ti serve il Loop.

Roby

[robert965]

il db contiene molti record
se non vado errato senza loop mi dava errore