[Princiapiante] Area riservata con db access

[Hwa-Rang]

Salve a tutti, ultimamente ho (finalmente) imparato ad utilizzare access un po' meglio. Adesso vorrei creare un'area riservata a cui accedere tramite nome utente e password contenuti in un db access.

In pratica:
- in un db access ho una tabella con due campi: id e password.
- se l'utente digita la giusta coppia id/password nella pagina (x es.) entra.asp, allora accede alla pagina areariservata.asp, altrimenti viene visualizzato un messaggio di errore.

Ci sono script già fatti? Cosa mi consigliate?
Grazie mille a tutti.

PS: un'altra cosa; ovviamente il db deve essere in una directory non accessibile. Come si fa?

[rixx]

PS: un'altra cosa; ovviamente il db deve essere in una directory non accessibile. Come si fa?

ma è sul server che lui vuoi fare vero?

per il resto se fai una piccola ricerca troverai un sacco di post di questo tipo e su google o su altir motori un sacco di script già fatti, in linea di massima la sql dovrebbe essere cosi:

codice:

sql="select USERNAME,PASSWORD from TUATABELLA"

[Hwa-Rang]

Sì sì, sul server.

Ho cercato su freeasp.html.it, ma non ho trovato quello che mi serve. Mi puoi passare qualche link?

[SuperMariano81]

Ti consiglio di usare un campo in più "descrizione" quando il tuo utente si collega al tuo sito mostri certe cose (link, immagini, tabelle) all'amministratore (contenuto nella descrizione) e certe no.

Per il login ti consiglio due pagine
-Login.asp (dove inserisce user e pwd)
-Login_Control.asp (dove fai i controlli)

PS fatti un giro su sicurezza.html

[Hwa-Rang]

Originariamente inviato da SuperMariano81
Ti consiglio di usare un campo in più "descrizione" quando il tuo utente si collega al tuo sito mostri certe cose (link, immagini, tabelle) all'amministratore (contenuto nella descrizione) e certe no.

Grazie mille per il consiglio! Al momento però il campo descrizione non mi serve, in effetti tutti gli utenti visualizzeranno gli stessi dati.

[SuperMariano81]

Originariamente inviato da Hwa-Rang
Grazie mille per il consiglio! Al momento però il campo descrizione non mi serve, in effetti tutti gli utenti
visualizzeranno gli stessi dati.

Non è suddiviso a livelli? Amministratore, utenti ecc...?
Magari in futuro ti potrà servire, pensaci!

Occhio che esistono dei sistemi per forzare le pagine di login; (c'è un bellissimo articolo in sicurezza.html.it) un hacker cerca di introdurre dei valori tali nella tua query in modo da risultare autenticato quando non è. Io per più sicruezza dalla password e dagli user faccio toglire:
'- = ? & * $ . ; ! < > % e le parole singole OR AND LIKE sono simboli usati (più o meno tutti) da Access per le query, io mi creo un po di protezione in più ed evito casini (soprattutto la seconda ipotesi).
Poi le password dei miei utenti devono essere minino 8 lettere con due maiuscole e due numeri; l'user mi basta minimo di 3.

[Hwa-Rang]

Originariamente inviato da SuperMariano81
Non è suddiviso a livelli? Amministratore, utenti ecc...?
Magari in futuro ti potrà servire, pensaci!

Ovviamente il secondo passo sarà aggiungere questo tipo di complessità alla cosa, ma per il momento devo ancora far funzionare le cose fondamentali.
Grazie comunque per i consigli (che non mancherò di seguire).