1 reply to this topic

[amgnatureza]

Olá,

Li em um site que é possível burlar grande parte de sistemas de proteção de senha em asp.
Consiste em digitar

' or '1'='1

no campo usuário e no campo senha. Isso realmente funciona, pode testar.

Gostaria de saber então como fazer um sistema protegido contra isso.
Pensei em algo assim:

Dim usuario
Dim senha
usuario = request.querystring("usuario")
senha = request.querystring("senha")

FAZ A VERIFICAÇÃO NO MDB

if verifica.bof Then
NÃO LOGADO
else
LOGADO

É o código q eu uso, tirei a parte de conexão por segurança.

Pensei então em verificar antes de tudo c não tá escrito

' or '1'='1

em um dos campos.
Mas veja como ficou

If usuario = ' or '1'='1 Then

O uso da ' é para comentário, tornando assim impossível de vericicar desse jetio.

Alguem tem a solução???

Valeu

[Info_Tec]

Para você acabar com isso vc deve fazer a substituição da ' (aspa simples) por '' (duas Aspa Simples). Isso fará com que a SQL interprete que vc quer que tenha uma ' no texto a ser localizado.
Ficaria +/- assim:

Dim usuario
Dim senha
usuario = Replace(request.querystring("usuario"),"'", "''")
senha = Replace(request.querystring("senha"),"'", "''")

FAZ A VERIFICAÇÃO NO MDB

if verifica.bof Then
NÃO LOGADO
else
LOGADO