Trucsweb.com

Forum de discussion

 Forum « Programmation ASP » (archives)

Mephisto, ton authentification n'est pas secure

Envoyé: 13 mai 2004, 12h35 par Salem


Tu utilises la ligne suivante pour authentifier tes utilisateurs :

sql = "SELECT * FROM users WHERE login ='" & Request.Form("login") & "' AND password ='" & Request.Form("password") & "';"

Maintenant, si un utilisateur entre ceci comme username et password :

' or '' = '

Par consequent ta requete SQL devient :

sql = "SELECT * FROM users WHERE login ='' or '' = '' AND password ='' or '' = '';"

Et donc, ta requete retournera tous les enregistrement de ta table users, et l'utilisateur sera authetifie en tant que celui retourne par le 1er enregistrement de ton recordset.

Moralite :
1- Il faut interdir les apostrophes et autres guillemets dans tes usernames,
2- Ta requete devrait verifier le username uniquement, et ton code asp verifier si le password est correct.

Exemple:


sql = "SELECT * FROM users WHERE login ='" & Request.Form("login") & "'"
rs.open "sql", cnn

if rs("password") = Request.Form("password") then
' ok
else
' pas ok
end if


Réponses

 sp spMerci pour la faille Mephisto14/5/2004
Aucun médias sociaux
X

Trucsweb.com Connexion

Connexion

X

Trucsweb.com Mot de passe perdu

Connexion

X

Trucsweb.com Conditions générales

Conditions

Responsabilité

La responsabilité des Trucsweb.com ne pourra être engagée en cas de faits indépendants de sa volonté. Les informations mises à disposition sur ce site le sont uniquement à titre purement informatif et ne sauraient constituer en aucun cas un conseil ou une recommandation de quelque nature que ce soit.

Aucun contrôle n'est exercé sur les références et ressources externes, l'utilisateur reconnaît que les Trucsweb.com n'assume aucune responsabilité relative à la mise à disposition de ces ressources, et ne peut être tenue responsable quant à leur contenu.

Droit applicable et juridiction compétente

Les règles en matière de droit, applicables aux contenus et aux transmissions de données sur et autour du site, sont déterminées par la loi canadienne. En cas de litige, n'ayant pu faire l'objet d'un accord à l'amiable, seuls les tribunaux canadien sont compétents.

X

Trucsweb.com Trucsweb

X

Trucsweb.com Glossaire

X

Trucsweb.com Trucsweb

X

Trucsweb.com Trucsweb

Conditions

Aucun message!

Merci.

X
Aucun message!
X

Trucsweb.com Créer un compte

Créer un compte

.
@