+ Rispondi al messaggio
Pagina 1 di 2 12 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 11

LogIn + Check Utente

  1. #1
    L'avatar di StegcO
    StegcO non  in linea Scolaretto
    Post
    421
    Like Inviati  
    0
    Like Ricevuti  
    0
    Ciao a tutti,

    sto creando una sezione privata sul mio sito, al momento la pagina di LogIn la seguente, semplicissima:

    Username = Request.Form("Username")
    Password = Request.Form("Password")
    
    Username = Replace(Username,"'","''")
    Password = Replace(Password,"'","''")
    
    SQL = ""
    SQL = SQL & "SELECT * FROM Utenti "
    SQL = SQL & " WHERE "
    SQL = SQL & "  [Username]='" & Username & "' and "
    SQL = SQL & "  [Password]='" & Password & "'"
    
    Set objRs = objConn.Execute(SQL)
    
    IF Not(objRs.EOF) THEN
    
    	Session("Utente")=Username
    	Session.TimeOut=1440
    	Response.Redirect "main.asp"
    
    ELSE
    	Response.Redirect "index.asp"
    END IF
    
    Come vedete recupero Username e Password dal form nella pagina precedente, se i dati inseriti corrispondo a un Record del database (Access) allora si inserire la propria Username nella variabile di Session e si rimanda alla pagina principale dell'area privata (main.asp).

    Funziona tutto perfettamente, mi domandavo per cosa inserire in cima ad ogni pagina privata per verificare che si sia effettivamente loggati, altirmenti basterebbe andare direttamente alla pagina successiva tramite barra degli indirizzi sul browser per scavlcare il LogIn.

    Non saprei da dove iniziare, forse devo fare un check se l'utente nella variabile di Session effettivamente esiste nel DB?

    Grazie a tutti per i consigli
    ℹ️ Leggi di pi su StegcO ...

  2. #2
    L'avatar di sistemista
    sistemista non  in linea Topo di biblioteca
    Post
    2,874
    Like Inviati  
    9
    Like Ricevuti  
    2
    Mi sembra il minimo di controllare se l'utente esiste nel DB,senza contare se hai effettuato dei controlli di verifica quando l'utente si registrato se esiste la sua posta elettronica.
    ℹ️ Leggi di pi su sistemista ...

  3. #3
    L'avatar di StegcO
    StegcO non  in linea Scolaretto
    Post
    421
    Like Inviati  
    0
    Like Ricevuti  
    0
    Perfetto, calcolando che nella pagina di LogIn inserisco l'utenza (gi verificata) nella Session, in ogni singola pagina pu bastare un controllo di questo tipo in cima ad ogni pagina privata?


    Session.TimeOut=1440
    
    IF Session("Utente")<>"" THEN
    	Response.Redirect errore.asp
    	ELSE
    	
    	Pagina
    
    END IF
    
    ℹ️ Leggi di pi su StegcO ...

  4. #4
    L'avatar di +m+
    +m+
    +m+ non  in linea Scribacchino
    Post
    922
    Like Inviati  
    0
    Like Ricevuti  
    0
    non vorrei dire ma c' una voragine di sql-injection l

  5. #5
    L'avatar di StegcO
    StegcO non  in linea Scolaretto
    Post
    421
    Like Inviati  
    0
    Like Ricevuti  
    0
    Quote Originariamente inviato da +m+ Visualizza il messaggio
    non vorrei dire ma c' una voragine di sql-injection l
    Dillo dillo

    Come consigli di proteggermi dall'SQL-Injenction? Ho trovato questo script proprio cercando Anti SQL-Injection
    ℹ️ Leggi di pi su StegcO ...

  6. #6
    L'avatar di sistemista
    sistemista non  in linea Topo di biblioteca
    Post
    2,874
    Like Inviati  
    9
    Like Ricevuti  
    2
    Quale script scusa?
    ℹ️ Leggi di pi su sistemista ...

  7. #7
    L'avatar di +m+
    +m+
    +m+ non  in linea Scribacchino
    Post
    922
    Like Inviati  
    0
    Like Ricevuti  
    0
    Devi "sanitizzare" alla grande.
    Iniziando a...
    0) via la select *
    1) eliminare tutti i ;
    2) tutti i -, tutti gli 1=1
    3) controllare che nel nome utente e nella password non ci siano dentro istruzioni SQL
    4) spezza in due. prima prendi il nome utente, poi prendi la password (aggiunge poco in termini di sicurezza, ma meglio di niente)
    5) in generale forza nome utente e password ad essere in ['0'..'9'], ['a'..'z'], ['A'..'Z].
    Taglia via quindi gli spazi e tutti i vari segni di interpunzione, tra cui /* etc
    6) metti un limite sulla lunghezza di nome utente (corto) e della password, e controlla che non venga superata.

  8. #8
    L'avatar di sistemista
    sistemista non  in linea Topo di biblioteca
    Post
    2,874
    Like Inviati  
    9
    Like Ricevuti  
    2
    Senza contare che la password deve essere criptata sul DB.
    ℹ️ Leggi di pi su sistemista ...

  9. #9
    L'avatar di +m+
    +m+
    +m+ non  in linea Scribacchino
    Post
    922
    Like Inviati  
    0
    Like Ricevuti  
    0
    Quote Originariamente inviato da sistemista Visualizza il messaggio
    Senza contare che la password deve essere criptata sul DB.
    pi che criptata memorizzata sotto forma di hash.

  10. #10
    L'avatar di sistemista
    sistemista non  in linea Topo di biblioteca
    Post
    2,874
    Like Inviati  
    9
    Like Ricevuti  
    2
    Una password criptata sar difficile decriptarla..con gli hash tipo MD5 sappiamo benissimo che in rete cosa circola,comunque sia,spetta al programmatore cosa fare e non fare.
    ℹ️ Leggi di pi su sistemista ...

+ Rispondi al messaggio
Pagina 1 di 2 12 ultimoultimo

Potrebbero interessarti anche ...

  1. Risposte: 7
    Ultimo Post: 22-09-2011, 19:47
  2. Login con utente e password
    Da Joe_01 nel forum Visual Basic .Net
    Risposte: 4
    Ultimo Post: 21-01-2010, 22:23
  3. [ASP.Net]login e profili utente
    Da _J_ nel forum ASP 3, ASP .Net
    Risposte: 4
    Ultimo Post: 14-09-2007, 06:25
  4. [ASP]Fare un accesso al sito con login utente
    Da hammer62 nel forum ASP 3, ASP .Net
    Risposte: 1
    Ultimo Post: 31-07-2007, 11:45
  5. Articolo: Flash MX: Creare un login form con password e nome utente.
    Da onsitus nel forum Adobe Flash, ActionScript
    Risposte: 0
    Ultimo Post: 24-02-2006, 15:24