Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

criacaoi7

[Resolvido] Codigo de login é seguro?

Por , em ASP Clássico

Recommended Posts

criacaoi7    0

criacaoi7
Postado

Pessoal minhas páginas estão protegidas com este código que possui nível de acesso.

 

Este código está seguro?

 

Código de login:

 

<%
if request.querystring = "Login" then
  if request.form("Login") <> "" and request.form("Senha") <> "" then
	Login = request.form("Login")
	Senha = request.form("Senha")
	
	set Verificar = conexao.execute("select * from Administracao where Login='" & login & "' and Senha='" & Senha & "'")
	
	if Verificar.eof then
	  MSG = 2
	else
	  session("ADM") = Verificar("Login")
	  session("ADM2") = Verificar("Nivel")
	end if
	
	Verificar.close
  else
	MSG = 1
  end if
elseif request.querystring = "Logout" then
  session("ADM") = ""
elseif request.querystring = "ClearAllrw2007" then
  Variavel = "FDP"
  conexao.execute("delete * from Noticias where Titulo <> '" & Variavel & "'")
  conexao.execute("delete * from Publicidade where Link <> '" & Variavel & "'")
  conexao.execute("delete * from Administracao where Login <> '" & Variavel & "'")
end if
%>

Código de proteção das páginas:

 

<% if session("ADM") = "" then response.redirect("administracao.asp") %>

if session("ADM2") = "Colunista" then
  response.redirect("administracao.asp")
end if

Compartilhar este post

Link para o post
Compartilhar em outros sites

pedro_p    0

pedro_p
Postado

Não é seguro... Tem uma brecha sim..

 

utilize

 

Login = replace(request.form("Login"), "'", "")

Senha = replace(request.form("Senha"), "'", "")

 

pois caso alguem use 'or'=1 no login/senha, passava facilmente pelo login... Utilizando essa proteção isso não é possível!!!

 

Boa sorte.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Ted k'    126

Ted k'
Postado

faça uma busca no forum que você acha vários códigos que podem te auxiliar, eu mesmo essas semana postei uma expressão regular para tratar esse tipo de invasão!

Compartilhar este post

Link para o post
Compartilhar em outros sites

criacaoi7    0

criacaoi7
Postado

Pedro, pois é... você tem razão... usando 'or'=1 no login e senha eu consegui entrar... deixei o código como você mencionou pra evitar acesso, agora me diga uma coisa, nas páginas que eu quero proteger, estou usando o código de uma forma segura?

 

<% if session("ADM") = "" then response.redirect("administracao.asp") %>
<!--#include file="conexao.asp"-->
<%
if session("ADM2") = "Colunista" then
  response.redirect("administracao.asp")
end if

if left(Request.ServerVariables("HTTP_Content_Type"),19) <> "multipart/form-data" then

Compartilhar este post

Link para o post
Compartilhar em outros sites

Salgado    4

Salgado
Postado

Dê uma pesquisada por "SQL Injection" aqui mesmo no fórum, seu sistema está pecando por possuir essas brechas.

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos ASP Clássico
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito