Jump to content


Photo

Login/administracao


  • Faça o login para participar
22 replies to this topic

#1 Flip_

Flip_

    Flip

  • Usuários
  • 225 posts
  • Sexo:Masculino
  • Localidade:Blumenau
  • Interesses:surf

Posted 11/07/2004, 11:54

como faço um login seguro que consulte o banco de dados access e depois envia para uma página sem mostrar na URL?
seilaha
isso eh facil mas eu so iniciante em ASP
dai pah...
hehe
comentem ai...
Felipe Casas
flipcasas@gmail.com *messenger
"emancipem se da escravidão mental pois não há nada além de nós mesmos que pode nos libertar" Bob Marley

#2 vrsbueno

vrsbueno

    Ativo

  • Usuários
  • 351 posts
  • Sexo:Não informado
  • Localidade:Taubaté-SP

Posted 11/07/2004, 14:34

aki vai um codigo de minha autoria! (y)

<%

ok = Request.Form("ok")
senha = Request.Form("senha")
login = Request.Form("login")

IF ok = "Logar" THEN

Set vCon = Server.CreateObject("ADODB.Connection")
vCon.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source="& Server.MapPath("bd/ads.mdb") &";Persist Security Info=False"

IF login = "" OR senha = "" THEN
 
  Response.Redirect "login.asp?msg=1"

ELSE

  vConf = "SELECT * FROM admin WHERE admin='"& login &"'"
  SET vLog = vCon.Execute(vConf)

  IF NOT vLog.EOF THEN
 
  IF senha = vLog("senha") AND ok = "Logar" THEN
    Session("logadao") = TRUE
    Session("usuario") = login
    Response.Redirect "admin/painel.asp"
  ELSE
    Response.Redirect "login.asp?msg=2"
        END IF

  ELSE
 
  Response.Redirect "login.asp?msg=3"

  END IF

END IF

ELSE

IF Session("logadao") = TRUE THEN

  Response.Redirect "admin/painel.asp"
 
ELSE
 
  %>
  <p align="center"><b><font size="2" face="Verdana">Para acessar o Painel de Administração, você precisa se logar:</font></b></p>
  <div align="center">
  <center>
  <table border="0" cellspacing="0" cellpadding="0"><form action="login.asp" method="post">
  <tr>
  <font size="2" face="Verdana">
  <td width="59" height="25"><font size="2" face="Verdana">Login:</font></td>
  <td height="25"><font face="Verdana"><input type="text" maxlength="50" name="login" size="20"></font></td>
  </font>
  </tr>
  <font size="2" face="Verdana">
  <td width="59" height="25"><font size="2" face="Verdana">Senha:</font></td>
  <td height="25"><font face="Verdana"><input type="password" maxlength="50" name="senha" size="20"></font></td>
  <tr>
  <td height="26">
  <p align="right"><input type=submit value=Logar name="ok"></p>
  </td>
  <td height="26">
  <p align="left">&nbsp; <input type="reset" value="Limpar"></p>
  </td>
  </tr></form>
  </table>
  </center>
  </div><br><center><a href="#" onclick="java script:AbreJanela('senha.asp', 'senha', 380, 270, 'no', 05, 05)">Esqueceu a senha?</a></center>
  <p align="center">&nbsp;</p>
  <p align="center"><font face="Verdana" size="1">* b.ads *<br>Produzido por vrsbueno &lt;<a href="mailto:vrsbueno@horizon.com.br">vrsbueno@horizon.com.br</a>&gt;</font></p>
  <%

END IF

END IF

%>



#3 Flip_

Flip_

    Flip

  • Usuários
  • 225 posts
  • Sexo:Masculino
  • Localidade:Blumenau
  • Interesses:surf

Posted 11/07/2004, 16:40

valeo ae....
me ajudo mto..
hehe
flw brother
Felipe Casas
flipcasas@gmail.com *messenger
"emancipem se da escravidão mental pois não há nada além de nós mesmos que pode nos libertar" Bob Marley

#4 pchardnet

pchardnet

    ×-× 3D ×-×

  • Usuários
  • 1068 posts
  • Sexo:Não informado
  • Localidade:Belo Horizonte-MG

Posted 12/07/2004, 08:41

Não está faltando o tratamento do 'or' aí neste script??
www.wvirtu.net - Hospedagem Sites - PHP + MySql + Fantástico - Joomla! pré-instalado

www.joomlaminas.org - Grupo de Usuários Joomla! de Minas Gerais

#5 vrsbueno

vrsbueno

    Ativo

  • Usuários
  • 351 posts
  • Sexo:Não informado
  • Localidade:Taubaté-SP

Posted 12/07/2004, 10:55

Blz Flip_!

Num tah naum... onde tah faltando o OR ?

#6 pchardnet

pchardnet

    ×-× 3D ×-×

  • Usuários
  • 1068 posts
  • Sexo:Não informado
  • Localidade:Belo Horizonte-MG

Posted 12/07/2004, 12:05

se alguém entrar com

user = 'or'
senha = 'or'

conseguirá logar?
www.wvirtu.net - Hospedagem Sites - PHP + MySql + Fantástico - Joomla! pré-instalado

www.joomlaminas.org - Grupo de Usuários Joomla! de Minas Gerais

#7 vrsbueno

vrsbueno

    Ativo

  • Usuários
  • 351 posts
  • Sexo:Não informado
  • Localidade:Taubaté-SP

Posted 12/07/2004, 18:32

não intendi..
mas creio q naum está faltando nada, pois eu uso e eh 100% seguro...

tente vc mesmo (y)

#8 pchardnet

pchardnet

    ×-× 3D ×-×

  • Usuários
  • 1068 posts
  • Sexo:Não informado
  • Localidade:Belo Horizonte-MG

Posted 13/07/2004, 08:11

vrsbueno... entre com o nome de usuário igual a 'or' e a senha 'or' e veja se consegue fazer o login. Eu acho que passa mesmo não tendo cadastrado este usuário. O Access tem uma falha. Se usar estes valores ele aceita e vc deve usar um replace para não aceitar aspas simples no nome do usuário e na senha, entendeu?
www.wvirtu.net - Hospedagem Sites - PHP + MySql + Fantástico - Joomla! pré-instalado

www.joomlaminas.org - Grupo de Usuários Joomla! de Minas Gerais

#9 vrsbueno

vrsbueno

    Ativo

  • Usuários
  • 351 posts
  • Sexo:Não informado
  • Localidade:Taubaté-SP

Posted 13/07/2004, 10:29

não não.

Tentei e ele dah a mensagem de usuario não cadastrado!

Attached Files



#10 pchardnet

pchardnet

    ×-× 3D ×-×

  • Usuários
  • 1068 posts
  • Sexo:Não informado
  • Localidade:Belo Horizonte-MG

Posted 13/07/2004, 10:34

então tá ok (y)
www.wvirtu.net - Hospedagem Sites - PHP + MySql + Fantástico - Joomla! pré-instalado

www.joomlaminas.org - Grupo de Usuários Joomla! de Minas Gerais

#11 Info_Tec

Info_Tec

    Servo do DEUS VIVO!

  • Usuários
  • 398 posts
  • Sexo:Não informado
  • Localidade:Entre a cadeira e o teclado
  • Interesses:Jesus, minha esposa e filha.<br>ASP, Lógica de programação, Projeto de Estradas, $$$ que tô precisando!

Posted 13/07/2004, 12:27

vrsbueno... entre com o nome de usuário igual a 'or' e a senha 'or' e veja se consegue fazer o login. Eu acho que passa mesmo não tendo cadastrado este usuário. O Access tem uma falha. Se usar estes valores ele aceita e vc deve usar um replace para não aceitar aspas simples no nome do usuário e na senha, entendeu?

Bem vamos às explicações, isso não é uma falha do Access, é falha do programador, porque? Repare na SQL, como ela é montada:
 vConf = "SELECT * FROM admin WHERE admin='"& login &"'"
Agora vamos jogar o valor ' OR ' na variável login:
 vConf = "SELECT * FROM admin WHERE admin='' OR ''"
O que acontece nesse momento? Estamos passando 2 valores vazios para serem pesquisados. E isso qualquer Banco de Dados sabe responder. Não é porque é o Access.

Agora, o porque que não acontece de se entrar nas páginas do VrsBueno? Simples, a SQL só pega o usuário, ele testa depois a senha, já no RecordSet, e no RecordSet não se precisa das ' para selecionar algo! O teste passa a ser
vLog("senha") = "' OR '"
, o que não será verdade.

Mas existe sim a falha no seu código VrsBueno, porque? Quando se entra com ' OR ', a SQL retorna todos os dados, e o Login que está selecionado é o 1º do BD. Isso se resolve com um simples Replace, trocando uma ' por duas ''.
A cada minuto está mais perto.
Aceite JESUS como seu único e suficiente salvador!
_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-
Fórum HOSANAS, venha conversar e se engrandecer com a palavra de DEUS.
Host: ASPECTO, Hospedagem ASP com qualidade e bom preço.

#12 vrsbueno

vrsbueno

    Ativo

  • Usuários
  • 351 posts
  • Sexo:Não informado
  • Localidade:Taubaté-SP

Posted 13/07/2004, 12:33

pera ae...

esse do replace eu fiz no cadastro, jah sabia desta! (y)

mas vc tah dizendo q se eu entrar como user ' OR ' eu irei conseguir?

se for assim, continua dando erro de login.

olha alki: Clique aki.

#13 vrsbueno

vrsbueno

    Ativo

  • Usuários
  • 351 posts
  • Sexo:Não informado
  • Localidade:Taubaté-SP

Posted 13/07/2004, 12:37

intendi uma coisa..

tipo, eu sei q a senha eh: 123 (por exemplo)

se eu entrar com login: ' OR '
e senha: 123

dah certo!

era isso?

#14 Info_Tec

Info_Tec

    Servo do DEUS VIVO!

  • Usuários
  • 398 posts
  • Sexo:Não informado
  • Localidade:Entre a cadeira e o teclado
  • Interesses:Jesus, minha esposa e filha.<br>ASP, Lógica de programação, Projeto de Estradas, $$$ que tô precisando!

Posted 13/07/2004, 12:41

Não, releia o que escrevi, eu disse que no seu sistema não vai dar acesso, pelo simples motivo de sua SQL não conter a Seleção do usuário pelo Login e a senha, ela só seleciona o usuário, a Senha e testada no RecordSet, o que impossibilita o acesso. Entendeu?

Entrar não se consegue, mas a falha existe, imagina que um dia seu sistema possua 100000 usuários (absurdo para se mante um BD access eu sei, mas é suposição), se eu usar o ' or o RecordSet receberá esses 100000 registros à toa. Entendeu?
A cada minuto está mais perto.
Aceite JESUS como seu único e suficiente salvador!
_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-
Fórum HOSANAS, venha conversar e se engrandecer com a palavra de DEUS.
Host: ASPECTO, Hospedagem ASP com qualidade e bom preço.

#15 pchardnet

pchardnet

    ×-× 3D ×-×

  • Usuários
  • 1068 posts
  • Sexo:Não informado
  • Localidade:Belo Horizonte-MG

Posted 13/07/2004, 13:08

Com o SQL Server isso tb acontece??? Acho que não!!!
www.wvirtu.net - Hospedagem Sites - PHP + MySql + Fantástico - Joomla! pré-instalado

www.joomlaminas.org - Grupo de Usuários Joomla! de Minas Gerais




1 user(s) are reading this topic

0 membro(s), 1 visitante(s) e 0 membros anônimo(s)

IPB Skin By Virteq