LogIn + Check Utente

Ciao a tutti,

sto creando una sezione privata sul mio sito, al momento la pagina di LogIn è la seguente, semplicissima:

Username = Request.Form("Username")
Password = Request.Form("Password")

Username = Replace(Username,"'","''")
Password = Replace(Password,"'","''")

SQL = ""
SQL = SQL & "SELECT * FROM Utenti "
SQL = SQL & " WHERE "
SQL = SQL & "  [Username]='" & Username & "' and "
SQL = SQL & "  [Password]='" & Password & "'"

Set objRs = objConn.Execute(SQL)

IF Not(objRs.EOF) THEN

	Session("Utente")=Username
	Session.TimeOut=1440
	Response.Redirect "main.asp"

ELSE
	Response.Redirect "index.asp"
END IF

Come vedete recupero Username e Password dal form nella pagina precedente, se i dati inseriti corrispondo a un Record del database (Access) allora si inserire la propria Username nella variabile di Session e si rimanda alla pagina principale dell'area privata (main.asp).

Funziona tutto perfettamente, mi domandavo però cosa inserire in cima ad ogni pagina privata per verificare che si sia effettivamente loggati, altirmenti basterebbe andare direttamente alla pagina successiva tramite barra degli indirizzi sul browser per scavlcare il LogIn.

Non saprei da dove iniziare, forse devo fare un check se l'utente nella variabile di Session effettivamente esiste nel DB?

Grazie a tutti per i consigli

Mi sembra il minimo di controllare se l'utente esiste nel DB,senza contare se hai effettuato dei controlli di verifica quando l'utente si è registrato se esiste la sua posta elettronica.

Perfetto, calcolando che nella pagina di LogIn inserisco l'utenza (già verificata) nella Session, in ogni singola pagina può bastare un controllo di questo tipo in cima ad ogni pagina privata?

Session.TimeOut=1440

IF Session("Utente")<>"" THEN
	Response.Redirect errore.asp
	ELSE
	
	Pagina

END IF

non vorrei dire ma c'è una voragine di sql-injection lì

Originariamente inviato da +m+

non vorrei dire ma c'è una voragine di sql-injection lì

Dillo dillo

Come consigli di proteggermi dall'SQL-Injenction? Ho trovato questo script proprio cercando Anti SQL-Injection

Quale script scusa?

Devi "sanitizzare" alla grande.
Iniziando a...
0) via la select *
1) eliminare tutti i ;
2) tutti i -, tutti gli 1=1
3) controllare che nel nome utente e nella password non ci siano dentro istruzioni SQL
4) spezza in due. prima prendi il nome utente, poi prendi la password (aggiunge poco in termini di sicurezza, ma meglio di niente)
5) in generale forza nome utente e password ad essere in ['0'..'9'], ['a'..'z'], ['A'..'Z].
Taglia via quindi gli spazi e tutti i vari segni di interpunzione, tra cui /* etc
6) metti un limite sulla lunghezza di nome utente (corto) e della password, e controlla che non venga superata.

Senza contare che la password deve essere criptata sul DB.

Originariamente inviato da sistemista

Senza contare che la password deve essere criptata sul DB.

più che criptata memorizzata sotto forma di hash.

Una password criptata sarà difficile decriptarla..con gli hash tipo MD5 sappiamo benissimo che in rete cosa circola,comunque sia,spetta al programmatore cosa fare e non fare.