حل مشكل هك شدن لاگين

[amirlol]

سلام
بارها و بارها ديديد كه يه سايت هك ميشه و مهم ترين دليلش مي تونه sql enjection باشه و حالا اين مشكلو حل مي كنيم

strsql = "Select * From tblusers where username = '" & Request.Form("username") & "' and Password = '" & Request.Form("password") & "'"
set rs = conn.Execute (strsql)

اگه براي كواري از كد بالا استفاده بشه براحتي ميشه وارد سيستم شد
Username: x
Password: x' or ' x = x
با رمز بالا

چرا چون طبق نوع كد مي ياد اولين ركورد رو مساوي قرار ميده و همه چيز ......

حالا اگه از دستور زير استفاده بشه ديگه اين اتفاقات نمي افته

strsql = "Select * From tblusers where username = '" & Replace(Request.Form("username"), "'","''") & "' and Password = '" & (replace(Request.Form("password"), "'","''") & "'"
set rs = conn.Execute (strsql)

 

[amirlol]

بجاي اسم كاربري و رمز بزاريد مثلآ x' or ' x = x

 

[amirlol]

و هم ميشه از MD5 استفاده كرد
مثلآ براي كلمه test كدش ميشه 05a671c66aefea124cc08b76ea6d30bb
من فايل تبديلشم براتون مي زارم

 

[amirlol]

و بهرته براي كانكشن به صورت زير عمل بشه

'filepath = Server.MapPath(Your Access DB File) 
filePath = Server.MapPath("datadirname/databasename.mdb")

'PWD 
PWD = "database password"

strConnect = "Provider=MSDASQL;" & _
"DRIVER={Microsoft Access Driver (*.mdb)};"& _
"DBQ=" & filepath & ";" & _
"password=" & PWD & ";"

 

[amirlol]

سوال ديگري بود در خدمتم

 

[amin3soot]

امیر جان ممنون از آموزش بسیار خوبت

 

[amirlol]

اي خدا من نمي دونم اين دكمه thanks رو مجيد براي چي گذاشته !!!1
تازشم با دستش يه چيزايي به آدم مي ده كه خيلي بي ادبه

 

[mehdi_25]

واقاً ممنون
اون تنکس برای خوشکلیه مگه نمی دونی