hvor sikker er et login som denne

hvis du har sørget for at fjerne enkelt plinger og gåseøjn er det vel rimeligt sikkert og idet at du tjekker/registrerer ip skræmmer også nogle brugere i at forsøge...

/hiks

Du har HTML fejl i linie 24 ud fra view source...

hiks.. hvor står de plinger og gåse øjn helt præcist

det kommer an på hvad du bruger - bruger du et database login? så skal du sikre dig at dit opslag i databasen ikke kan misbruges eller tilføjes noget...

/hiks

ja det er en access db...

så skal du sørge for at når du slår op i databasen at du i dine felter for username og password ikke indgår " eller ' .

Det kan du undgå ved brug af replace på din formnavn.username og formnavn.password når du tjekker om brugeren eller password eksisterer...

/hiks

Det navn du modtager, kontrollere du at det ikke indeholder specielle tegn eller bruger du det bare direkte i fx. et sql kald??

Man kunne forestille sig et loginnavn som "Martin or *=*" forsøgt.

Derudover skal du sørge for, at din database ikke ligger i en offentlig tilgængelig mappe, så folk ikke kan gætte sig til filnavnet og hente den.

ok, hvordan ville sådan en kode helt præcis se ud ?

sådan noget lign:

Private Function FormatInput(strInput)
    strInput = Replace(strInput, "'", "''")
    FormatInput = strInput
End Function

jeg er enig og du udvider bare ovenstående funktion til de tegn du ønsker at den skal erstatte med ingenting eller lave det på samme måde som du har lavet dit javascript med pop-up, som fortæller brugeren at de ikke må bruge de tegn til login...

/hiks

koden ser sådan ud...:

hvor sætter jeg det ind ?

<%
If Request.Querystring("do") = "check" Then
  Set Cn = Server.CreateObject("ADODB.Connection")
  Cn.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & dbAccess
  Set Rs = Cn.Execute("SELECT * FROM "& tblLogin &"")
 
  If Rs.EOF then
    Session("mess") = "<font color='#FF0000'>"& txtMessNoUser &"</font>"
  Else
 
    Do Until RS.EOF
    If Request.Form("user") = Rs(""& rowPostLogin(1) &"") AND Request.Form("pass") = Rs(""& rowPostLogin(2) &"") Then
      Response.Redirect txtPageLogin &"?do=login"
    End If
    RS.MoveNext
    Loop
   
      Session("mess") = "<font color='#FF0000'>"& txtMessWrongLogin &" "& strLogIpAdd
        Cn.Execute("INSERT INTO "& tblLogIp &" " &_
        "(["&rowPostIp(1)&"],["&rowPostIp(2)&"],["&rowPostIp(3)&"],["&rowPostIp(4)&"])" &_
    "VALUES('"& strLogIpAdd &"','"& Request.Form("user") &"','"& Request.Form("pass") &"','"& Now &"') ")
    Response.Redirect txtPageLogin
   
  End If
  Rs.Close : Set Rs = Nothing
  Cn.Close : Set Cn = Nothing
End If

If Request.Querystring("do") = "login" Then
    Session("admin") = "ok"
    Session.TimeOut = 20
    Response.Redirect strPageToGoLogin
End If



Response.Write "<body><form method='post' action='"& txtPageLogin &"?do=check' name='check' onSubmit='return login()'>"
Response.Write "<table border='0' cellpadding='0' cellspacing='0' width='100%' height='100%'>"
Response.Write "<tr><td width='100%' colspan='3'>&nbsp;</td></tr>"
Response.Write "<tr><td width='33%'>&nbsp;</td><td width='33%' align='center'>"
Response.Write "<table border='0' cellpadding='0' cellspacing='2' width='235' height='135'>"
Response.Write "<tr><td width='294'>"
Response.Write "<table border='0' cellpadding='0' cellspacing='0' width='100%' height='100%'>"
Response.Write "<tr><td width='10%' height='10'></td><td width='79%' height='10'><b>"& txtTopTextLogin &"</b></td><td width='11%' height='10'></td></tr>"
Response.Write "<tr><td width='10%'>&nbsp;</td><td width='79%'><br>"
Response.Write txtFirstInputLogin & ": <input type='text' name='user' size='26'></td>"
Response.Write "<td width='11%'>&nbsp;</td></tr><tr><td width='10%'>&nbsp;</td><td width='79%'>"
Response.Write txtSecondInputLogin & ": <input type='text' name='pass' size='26'></td>"
Response.Write "<td width='11%'>&nbsp;</td></tr><tr><td width='10%'>&nbsp;</td><td width='79%'>"
If Session("mess") <> "" Then
  Response.Write Session("mess")
  Session("mess") = ""
End If     
Response.Write "</td><td width='11%'>&nbsp;</td></tr><tr><td width='10%'>&nbsp;</td><td width='79%' align='center' valign='top'>"
Response.Write "<input type='submit' value='"& txtButtonTextLogin &"' name='Skicka'>"   
Response.Write "</td><td width='11%'>&nbsp;</td></tr></table>"
Response.Write "</td></tr></table></td><td width='34%'>&nbsp;</td></tr><tr>"
Response.Write "<td width='100%' colspan='3'>&nbsp;</td></tr></table></form></body></html>"
If Err.Number > 0 Then
Response.Write "<br><br><hr noshade color='#FF0000'><font color='#FF0000'><b>"
Response.Write "Ett Fel Uppstod På Pbwebb's Loginscript</b><br>"
Response.Write "Fel nummer: " & Err.Number & "<br>"
Response.Write "Fel Medd: " & Err.Description & "<br>"
Response.Write "Källa: " & Err.Source & "<br>"
Response.Write Err.Raise
End If

%>

http://www.kriegbaum.dk/ad/login.asp?do=login

Måske en god ide at ændre "?do=login" til noget man ik kan gætte så let (nej jeg gættede det ik, så det bare i din sidste post), men nogle ville sikkert gætte det hvis de gad bruge tid.

Det er ret besværligt det du har gjort. Der er ingen grund til at løbe alle poster igennem for at tjekke om brugeren eksisterer. Du burde tjekke direkte i din SQL-sætning. Desuden burde du give brugeren en session-variabel om at han er logget ind, hvis han findes i databasen (og ikke hvis ?do=login), som herefter tjekkes på alle efterfølgende sider.

den der do=login.. hvorfor poster du den ikke istedet for at smide den op i querystringen?

Alstå noget lign:

Set rs = Conn.Execute("SELECT * FROM Brugere WHERE Brugernavn = '" & FormatInput(Request.Form("Brugernavn") & "' AND Adgangskode = '" & FormatInput(Request.Form("Adgangskode") & "'"

If Not rs.Eof Then
Session("brugerloggetind") = "Ja"
Response.Redirect "beskyttetside.asp"
osv. osv

Så mit svar: Nej, det er ikke noget særlig sikkert login. :)

Hej Thomas og andre

Så er mit spørgmål... hvor finder jeg det mest sikre login, som ikke koster for meget ?

Øhhh der bliver slet ikke testet på loginnavn ?
http://www.kriegbaum.dk/ad/login.asp?do=login og du er inde.
Hvad med at sætte en session hvis man bliver logget ind og så redirecte, på den måde kan man teste på om session er blevet sat på sider som man kun skal se når man er logget ind.

Prøv at følge min vejledning. Det skulle være tilstrækkelig sikkert. :)

http://html.dk/tutorials/asp/lektion12.asp der er noget om login med sessions

det går galt..:

If Request.Querystring("do") = "check" Then
  Set Cn = Server.CreateObject("ADODB.Connection")
  Cn.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & dbAccess
 
  Set rs = Conn.Execute("SELECT * FROM login WHERE user = '" & FormatInput(Request.Form("user") & "' AND pass = '" & FormatInput(Request.Form("pass") & "'"

If Not rs.Eof Then
Session("brugerloggetind") = "Ja"
Response.Redirect "default.asp"

Microsoft VBScript compilation error '800a03ee'

Expected ')'

/ad/login.asp, line 52

Set rs = Conn.Execute("SELECT * FROM login WHERE user = '" & FormatInput(Request.Form("user") & "' AND pass = '" & FormatInput(Request.Form("pass") & "'"
---------------------------------------------------------------------------------------------------------------------------------------------------------^

52 = Set rs = Conn.Execute("SELECT * FROM login WHERE user = '" & FormatInput(Request.Form("user") & "' AND pass = '" & FormatInput(Request.Form("pass") & "'"

Min fejl... :)

Set rs = Conn.Execute("SELECT * FROM login WHERE user = '" & FormatInput(Request.Form("user")) & "' AND pass = '" & FormatInput(Request.Form("pass")) & "'"

øv:

Microsoft VBScript compilation error '800a03ee'

Expected ')'

/ad/login.asp, line 52

Set rs = Conn.Execute("SELECT * FROM login WHERE user = '" & FormatInput(Request.Form("user")) & "' AND pass = '" & FormatInput(Request.Form("pass")) & "'"
-----------------------------------------------------------------------------------------------------------------------------------------------------------^

Sorry, prøv denne:

Set rs = Conn.Execute("SELECT * FROM login WHERE user = '" & FormatInput(Request.Form("user")) & "' AND pass = '" & FormatInput(Request.Form("pass")) & "'")

Microsoft VBScript compilation error '800a03f6'

Expected 'End'

/ad/login.asp, line 119

linie 119 :End If

Har du ikke en End If? Smid lige koden herind

<%
If Request.Querystring("do") = "check" Then
  Set Cn = Server.CreateObject("ADODB.Connection")
  Cn.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & dbAccess
 
Set rs = Conn.Execute("SELECT * FROM login WHERE user = '" & FormatInput(Request.Form("user")) & "' AND pass = '" & FormatInput(Request.Form("pass")) & "'")

If Not rs.Eof Then
Session("brugerloggetind") = "Ja"
Response.Redirect "default.asp"
 

 
  If Rs.EOF then
    Session("mess") = "<font color='#FF0000'>"& txtMessNoUser &"</font>"
  Else
 
    Do Until RS.EOF
    If Request.Form("user") = Rs(""& rowPostLogin(1) &"") AND Request.Form("pass") = Rs(""& rowPostLogin(2) &"") Then
      Response.Redirect txtPageLogin &"?do=login"
    End If
    RS.MoveNext
    Loop
   
      Session("mess") = "<font color='#FF0000'>"& txtMessWrongLogin &" "& strLogIpAdd
        Cn.Execute("INSERT INTO "& tblLogIp &" " &_
        "(["&rowPostIp(1)&"],["&rowPostIp(2)&"],["&rowPostIp(3)&"],["&rowPostIp(4)&"])" &_
    "VALUES('"& strLogIpAdd &"','"& Request.Form("user") &"','"& Request.Form("pass") &"','"& Now &"') ")
    Response.Redirect txtPageLogin
   
  End If
  Rs.Close : Set Rs = Nothing
  Cn.Close : Set Cn = Nothing
End If

If Request.Querystring("do") = "login" Then
    Session("admin") = "ok"
    Session.TimeOut = 20
    Response.Redirect strPageToGoLogin
End If



Response.Write "<body><form method='post' action='"& txtPageLogin &"?do=check' name='check' onSubmit='return login()'>"
Response.Write "<table border='0' cellpadding='0' cellspacing='0' width='100%' height='100%'>"
Response.Write "<tr><td width='100%' colspan='3'>&nbsp;</td></tr>"
Response.Write "<tr><td width='33%'>&nbsp;</td><td width='33%' align='center'>"
Response.Write "<table border='0' cellpadding='0' cellspacing='2' width='235' height='135'>"
Response.Write "<tr><td width='294'>"
Response.Write "<table border='0' cellpadding='0' cellspacing='0' width='100%' height='100%'>"
Response.Write "<tr><td width='10%' height='10'></td><td width='79%' height='10'><b>"& txtTopTextLogin &"</b></td><td width='11%' height='10'></td></tr>"
Response.Write "<tr><td width='10%'>&nbsp;</td><td width='79%'><br>"
Response.Write txtFirstInputLogin & ": <input type='text' name='user' size='26'></td>"
Response.Write "<td width='11%'>&nbsp;</td></tr><tr><td width='10%'>&nbsp;</td><td width='79%'>"
Response.Write txtSecondInputLogin & ": <input type='text' name='pass' size='26'></td>"
Response.Write "<td width='11%'>&nbsp;</td></tr><tr><td width='10%'>&nbsp;</td><td width='79%'>"
If Session("mess") <> "" Then
  Response.Write Session("mess")
  Session("mess") = ""
End If     
Response.Write "</td><td width='11%'>&nbsp;</td></tr><tr><td width='10%'>&nbsp;</td><td width='79%' align='center' valign='top'>"
Response.Write "<input type='submit' value='"& txtButtonTextLogin &"' name='Skicka'>"   
Response.Write "</td><td width='11%'>&nbsp;</td></tr></table>"
Response.Write "</td></tr></table></td><td width='34%'>&nbsp;</td></tr><tr>"
Response.Write "<td width='100%' colspan='3'>&nbsp;</td></tr></table></form></body></html>"
If Err.Number > 0 Then
Response.Write "<br><br><hr noshade color='#FF0000'><font color='#FF0000'><b>"
Response.Write "Ett Fel Uppstod På Pbwebb's Loginscript</b><br>"
Response.Write "Fel nummer: " & Err.Number & "<br>"
Response.Write "Fel Medd: " & Err.Description & "<br>"
Response.Write "Källa: " & Err.Source & "<br>"
Response.Write Err.Raise
End If

%>

hvis jeg sletter :

If Rs.EOF then
    Session("mess") = "<font color='#FF0000'>"& txtMessNoUser &"</font>"

virker det men den vil så ikke logge mig ind.. med min pasword og username ?

Det er da også stadig noget rod... du skal nok sætte dig lidt mere ind i den grundlæggende asp. Har ryddet lidt op i det, prøv det:

If Request.Querystring("do") = "check" Then
    Set Conn = Server.CreateObject("ADODB.Connection")
    Conn.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & dbAccess

    Set rs = Conn.Execute("SELECT * FROM login WHERE user = '" & FormatInput(Request.Form("user")) & "' AND pass = '" & FormatInput(Request.Form("pass")) & "'")

    If Not rs.Eof Then
        Session("mess") = "<font color='#FF0000'>"& txtMessNoUser &"</font>"
    Else
        Session("admin") = "ok"
        Session.TimeOut = 20
        Session("brugerloggetind") = "Ja"
        Response.Redirect "default.asp"
    End If

    Rs.Close
    Set Rs = Nothing
    Conn.Close
    Set Conn = Nothing

End If


Response.Write "<body><form method='post' action='"& txtPageLogin &"?do=check' name='check' onSubmit='return login()'>"

osv osv.

og med din ip-log-ting:

If Request.Querystring("do") = "check" Then
    Set Conn = Server.CreateObject("ADODB.Connection")
    Conn.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & dbAccess

    Set rs = Conn.Execute("SELECT * FROM login WHERE user = '" & FormatInput(Request.Form("user")) & "' AND pass = '" & FormatInput(Request.Form("pass")) & "'")

    If Not rs.Eof Then
        Session("mess") = "<font color='#FF0000'>"& txtMessNoUser &"</font>"
    Else
        Session("admin") = "ok"
        Session.TimeOut = 20
        Session("brugerloggetind") = "Ja"
        Session("mess") = "<font color='#FF0000'>"& txtMessWrongLogin &" "& strLogIpAdd
        Cn.Execute("INSERT INTO "& tblLogIp &" " &_
        "(["&rowPostIp(1)&"],["&rowPostIp(2)&"],["&rowPostIp(3)&"],["&rowPostIp(4)&"])" &_
        "VALUES('"& strLogIpAdd &"','"& Request.Form("user") &"','"& Request.Form("pass") &"','"& Now &"') ")
        Response.Redirect "default.asp"
    End If

    Rs.Close
    Set Rs = Nothing
    Conn.Close
    Set Conn = Nothing

End If


Response.Write "<body><form method='post' action='"& txtPageLogin &"?do=check' name='check' onSubmit='return login()'>"

osv osv.

hej thomas..

Sorry ... du skælder ud,.. jeg gør mit bedste.... :-) du er en hård lære..
nu siger den at user ikke findes ?

<%
If Request.Querystring("do") = "check" Then
    Set Conn = Server.CreateObject("ADODB.Connection")
    Conn.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & dbAccess

    Set rs = Conn.Execute("SELECT * FROM login WHERE user = '" & FormatInput(Request.Form("user")) & "' AND pass = '" & FormatInput(Request.Form("pass")) & "'")

    If Not rs.Eof Then
        Session("mess") = "<font color='#FF0000'>"& txtMessNoUser &"</font>"
    Else
        Session("admin") = "ok"
        Session.TimeOut = 20
        Session("brugerloggetind") = "Ja"
        Session("mess") = "<font color='#FF0000'>"& txtMessWrongLogin &" "& strLogIpAdd
        Cn.Execute("INSERT INTO "& tblLogIp &" " &_
        "(["&rowPostIp(1)&"],["&rowPostIp(2)&"],["&rowPostIp(3)&"],["&rowPostIp(4)&"])" &_
        "VALUES('"& strLogIpAdd &"','"& Request.Form("user") &"','"& Request.Form("pass") &"','"& Now &"') ")
        Response.Redirect "default.asp"
    End If

    Rs.Close
    Set Rs = Nothing
    Conn.Close
    Set Conn = Nothing

End If


Response.Write "<body><form method='post' action='"& txtPageLogin &"?do=check' name='check' onSubmit='return login()'>"


Response.Write "<table border='0' cellpadding='0' cellspacing='0' width='100%' height='100%'>"
Response.Write "<tr><td width='100%' colspan='3'>&nbsp;</td></tr>"
Response.Write "<tr><td width='33%'>&nbsp;</td><td width='33%' align='center'>"
Response.Write "<table border='0' cellpadding='0' cellspacing='2' width='235' height='135'>"
Response.Write "<tr><td width='294'>"
Response.Write "<table border='0' cellpadding='0' cellspacing='0' width='100%' height='100%'>"
Response.Write "<tr><td width='10%' height='10'></td><td width='79%' height='10'><b>"& txtTopTextLogin &"</b></td><td width='11%' height='10'></td></tr>"
Response.Write "<tr><td width='10%'>&nbsp;</td><td width='79%'><br>"
Response.Write txtFirstInputLogin & ": <input type='text' name='user' size='26'></td>"
Response.Write "<td width='11%'>&nbsp;</td></tr><tr><td width='10%'>&nbsp;</td><td width='79%'>"
Response.Write txtSecondInputLogin & ": <input type='text' name='pass' size='26'></td>"
Response.Write "<td width='11%'>&nbsp;</td></tr><tr><td width='10%'>&nbsp;</td><td width='79%'>"
If Session("mess") <> "" Then
  Response.Write Session("mess")
  Session("mess") = ""
End If     
Response.Write "</td><td width='11%'>&nbsp;</td></tr><tr><td width='10%'>&nbsp;</td><td width='79%' align='center' valign='top'>"
Response.Write "<input type='submit' value='"& txtButtonTextLogin &"' name='Skicka'>"   
Response.Write "</td><td width='11%'>&nbsp;</td></tr></table>"
Response.Write "</td></tr></table></td><td width='34%'>&nbsp;</td></tr><tr>"
Response.Write "<td width='100%' colspan='3'>&nbsp;</td></tr></table></form></body></html>"
If Err.Number > 0 Then
Response.Write "<br><br><hr noshade color='#FF0000'><font color='#FF0000'><b>"
Response.Write "Ett Fel Uppstod På Pbwebb's Loginscript</b><br>"
Response.Write "Fel nummer: " & Err.Number & "<br>"
Response.Write "Fel Medd: " & Err.Description & "<br>"
Response.Write "Källa: " & Err.Source & "<br>"
Response.Write Err.Raise
End If

%>

Hehe :-)

Det er bare svært at kode noget i asp, hvis du kopierer noget fra en anden uden selv at forså hver eneste linie selv.

Hvilke felter har du i din access-database og hvad hedder tabellen med brugerne? I din første kode hed den tbl_Login og nu kalder du den login. Du skal lige sikre dig at du kalder tabeller og felter ved deres rigtige navne. Som det er nu kalder du felterne user og pass i tabellen login - er det rigtigt?

Cn.Execute("INSERT INTO "& tblLogIp &" " &_
skal også lige rettes til
Conn.Execute("INSERT INTO "& tblLogIp &" " &_
da vi nu kalder din database-forbindelse for Conn.

jamen det syntes jeg også var mærkeligt..

tabellen hedder login .. der er 3 felter i den id, user,pass

vil du se den ?

Det finns ingen User 
   

 
 




--------------------------------------------------------------------------------

Fel nummer: 500
Fel Medd: Variable is undefined
Källa: Microsoft VBScript runtime error

hvordan ligger jeg min db i en ikke offentlig mappe ?

kan man ikke få alt ned hvis man kan stien ?

men den få jo slet ikke fat i selve databasen ?

thomas

vi mødes igen imorgen til en kamp.....

P.s venter på at min mysql kommer op er bestilt.. .-)

ok, det er bare i orden. det er også noget bedre med mysql. :)

du lægger din database i mappen db eller hvad den hedder hos din udbyder:
fx.
\db (har kan du lægge databaser)
\www (her ligger dit website)

du skal sørge for at variablen dbAccess indeholder databasens filnavn.