Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Bom dia pessoal...
recentemente o site de um cliente vem sendo invadido frequentemente, sempre pelo mesmo grupo...
aparentemente o acesso é feito pelo proprio gereciador, pois já foram modificadas notícias, fotos, destaques etc..
gostaria de pedir a ajuda de vocês para analizar este código de login, para saber se há alguma brecha..
segue o código:
If request.QueryString("action") = "CheckUser" Then
login = request.Form("login")
login = replace(login,"'","''")
login = replace(login,"#","''")
login = replace(login,"$","''")
login = replace(login,"%","''")
login = replace(login,"¨","''")
login = replace(login,"&","''")
login = replace(login,"'or'1'='1'","''")
login = replace(login,"--","''")
login = replace(login,"insert","''")
login = replace(login,"drop","''")
login = replace(login,"delet","''")
login = replace(login,"xp_","''")
login = replace(login,"select","''")
login = replace(login,"*","''")
senha = request.Form("senha")
senha = replace(senha,"'","''")
senha = replace(senha,"#","''")
senha = replace(senha,"$","''")
senha = replace(senha,"%","''")
senha = replace(senha,"¨","''")
senha = replace(senha,"&","''")
senha = replace(senha,"'or'1'='1'","''")
senha = replace(senha,"--","''")
senha = replace(senha,"insert","''")
senha = replace(senha,"drop","''")
senha = replace(senha,"delet","''")
senha = replace(senha,"xp_","''")
senha = replace(senha,"select","''")
senha = replace(senha,"*","''")
Set RS = Server.CreateObject("ADODB.Recordset")
RS.Open "SELECT * FROM tb_administradores WHERE email = '"& login &"' AND senha = '"& senha &"'", CX, 1, 3
If RS.BOF Then
Session("grav_email") = loginSession("logUser") = "true"
Session("login") = dbLogin
Session("nome_user") = nome
Session("id_user") = id
Session.Timeout = 960
Session("grav_email") = ""
response.Redirect("default.asp?session=admin")
Set RS = Nothing
End if
desde já obrigado a todos!
Carregando comentários...