22 replies to this topic

[Flip_]

como faço um login seguro que consulte o banco de dados access e depois envia para uma página sem mostrar na URL?
seilaha
isso eh facil mas eu so iniciante em ASP
dai pah...
hehe
comentem ai...

[vrsbueno]

aki vai um codigo de minha autoria!

<%

ok = Request.Form("ok")
senha = Request.Form("senha")
login = Request.Form("login")

IF ok = "Logar" THEN

Set vCon = Server.CreateObject("ADODB.Connection")
vCon.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source="& Server.MapPath("bd/ads.mdb") &";Persist Security Info=False"

IF login = "" OR senha = "" THEN
 
  Response.Redirect "login.asp?msg=1"

ELSE

  vConf = "SELECT * FROM admin WHERE admin='"& login &"'"
  SET vLog = vCon.Execute(vConf)

  IF NOT vLog.EOF THEN
 
  IF senha = vLog("senha") AND ok = "Logar" THEN
    Session("logadao") = TRUE
    Session("usuario") = login
    Response.Redirect "admin/painel.asp"
  ELSE
    Response.Redirect "login.asp?msg=2"
        END IF

  ELSE
 
  Response.Redirect "login.asp?msg=3"

  END IF

END IF

ELSE

IF Session("logadao") = TRUE THEN

  Response.Redirect "admin/painel.asp"
 
ELSE
 
  %>
  <p align="center"><b><font size="2" face="Verdana">Para acessar o Painel de Administração, você precisa se logar:</font></b></p>
  <div align="center">
  <center>
  <table border="0" cellspacing="0" cellpadding="0"><form action="login.asp" method="post">
  <tr>
  <font size="2" face="Verdana">
  <td width="59" height="25"><font size="2" face="Verdana">Login:</font></td>
  <td height="25"><font face="Verdana"><input type="text" maxlength="50" name="login" size="20"></font></td>
  </font>
  </tr>
  <font size="2" face="Verdana">
  <td width="59" height="25"><font size="2" face="Verdana">Senha:</font></td>
  <td height="25"><font face="Verdana"><input type="password" maxlength="50" name="senha" size="20"></font></td>
  <tr>
  <td height="26">
  <p align="right"><input type=submit value=Logar name="ok"></p>
  </td>
  <td height="26">
  <p align="left">&nbsp; <input type="reset" value="Limpar"></p>
  </td>
  </tr></form>
  </table>
  </center>
  </div><br><center><a href="#" onclick="java script:AbreJanela('senha.asp', 'senha', 380, 270, 'no', 05, 05)">Esqueceu a senha?</a></center>
  <p align="center">&nbsp;</p>
  <p align="center"><font face="Verdana" size="1">* b.ads *<br>Produzido por vrsbueno &lt;<a href="mailto:vrsbueno@horizon.com.br">vrsbueno@horizon.com.br</a>&gt;</font></p>
  <%

END IF

END IF

%>

[Flip_]

valeo ae....
me ajudo mto..
hehe
flw brother

[pchardnet]

Não está faltando o tratamento do 'or' aí neste script??

[vrsbueno]

Blz Flip_!

Num tah naum... onde tah faltando o OR ?

[pchardnet]

se alguém entrar com

user = 'or'
senha = 'or'

conseguirá logar?

[vrsbueno]

não intendi..
mas creio q naum está faltando nada, pois eu uso e eh 100% seguro...

tente vc mesmo

[pchardnet]

vrsbueno... entre com o nome de usuário igual a 'or' e a senha 'or' e veja se consegue fazer o login. Eu acho que passa mesmo não tendo cadastrado este usuário. O Access tem uma falha. Se usar estes valores ele aceita e vc deve usar um replace para não aceitar aspas simples no nome do usuário e na senha, entendeu?

[vrsbueno]

não não.

Tentei e ele dah a mensagem de usuario não cadastrado!

Attached Files

•  imagem.JPG   6.55KB   3 downloads

[pchardnet]

então tá ok

[Info_Tec]

vrsbueno... entre com o nome de usuário igual a 'or' e a senha 'or' e veja se consegue fazer o login. Eu acho que passa mesmo não tendo cadastrado este usuário. O Access tem uma falha. Se usar estes valores ele aceita e vc deve usar um replace para não aceitar aspas simples no nome do usuário e na senha, entendeu?

Bem vamos às explicações, isso não é uma falha do Access, é falha do programador, porque? Repare na SQL, como ela é montada:

 vConf = "SELECT * FROM admin WHERE admin='"& login &"'"

Agora vamos jogar o valor ' OR ' na variável login:

 vConf = "SELECT * FROM admin WHERE admin='' OR ''"

O que acontece nesse momento? Estamos passando 2 valores vazios para serem pesquisados. E isso qualquer Banco de Dados sabe responder. Não é porque é o Access.

Agora, o porque que não acontece de se entrar nas páginas do VrsBueno? Simples, a SQL só pega o usuário, ele testa depois a senha, já no RecordSet, e no RecordSet não se precisa das ' para selecionar algo! O teste passa a ser

vLog("senha") = "' OR '"

, o que não será verdade.

Mas existe sim a falha no seu código VrsBueno, porque? Quando se entra com ' OR ', a SQL retorna todos os dados, e o Login que está selecionado é o 1º do BD. Isso se resolve com um simples Replace, trocando uma ' por duas ''.

[vrsbueno]

pera ae...

esse do replace eu fiz no cadastro, jah sabia desta!

mas vc tah dizendo q se eu entrar como user ' OR ' eu irei conseguir?

se for assim, continua dando erro de login.

olha alki: Clique aki.

[vrsbueno]

intendi uma coisa..

tipo, eu sei q a senha eh: 123 (por exemplo)

se eu entrar com login: ' OR '
e senha: 123

dah certo!

era isso?

[Info_Tec]

Não, releia o que escrevi, eu disse que no seu sistema não vai dar acesso, pelo simples motivo de sua SQL não conter a Seleção do usuário pelo Login e a senha, ela só seleciona o usuário, a Senha e testada no RecordSet, o que impossibilita o acesso. Entendeu?

Entrar não se consegue, mas a falha existe, imagina que um dia seu sistema possua 100000 usuários (absurdo para se mante um BD access eu sei, mas é suposição), se eu usar o ' or o RecordSet receberá esses 100000 registros à toa. Entendeu?

[pchardnet]

Com o SQL Server isso tb acontece??? Acho que não!!!