[ASP] Login geht immer noch nicht!!

Thomas Bandt activeserverpages at glengamoi.com
Fri, 3 Dec 2004 22:44:54 +0100 

Ja das geht so auch nicht. Du musst die Daten vorher validieren, bevor
du sie gen Datenbank schickst. Oft genanntes Stichwort hierbei auch:
SQL Injection (Suche bei www.aspheute.com)

Gruß, Thomas
_____________________________________
http://blogs.dotnetgerman.com/thomas/

> -----Original Message-----
> From: activeserverpages-admin@glengamoi.com
> [mailto:activeserverpages-admin@glengamoi.com] On Behalf Of Marco Velo
> Sent: Friday, December 03, 2004 10:22 PM
> To: activeserverpages@glengamoi.com
> Subject: AW: [ASP] Login geht immer noch nicht!!
>
> nun, endlich habe ich den Fehler gefunden!
> Ehrlich gesagt ist es richtig PEINLICH!!!
>
> Nachdem ich dein code ausprobierte, bekam ich 1 Datensatz zurück.
> Zum testen ob es wirklich in der richtigen Tabelle oder was
> auch immer connected, habe ich einen zweiten Datensatz
> hinzugefügt. Nachdem ich den zweiten Datensatz hinzufügte
> habe ich bemerkt, dass die Kundennummerzahl anstatt 6 nur aus
> 5 zahlen bestand!
>
> Ououou....
>
> Nun geht das Login!
>
> Möchte mich an allen bedanken! Habe trotzdem was gelernt!
>
> Bevor ich aber schluss mache, habe ich noch etwas.
> Wenn ich mich normal anmelde, werde ich nun redirected. Wenn
> Login falsch ist, dann bekomme ich nun folg. Fehler:
>
>
>
> Microsoft OLE DB Provider for SQL Server- Fehler '80040e14'
>
> Falsche Syntax in der Nähe des AND-Schlüsselwortes.
>
> /hofdesign/login.asp, line 108
>
>
>
> So sieht nun meine SQL-Abfrage aus:
>
>   strSQL = "Select * from Benutzer Where Kd_Nr=" & user_id &_
>       " AND password='" & password & "'"
>   strSQL = strSQL & user_id & " AND Password='" & Password & "';"
>
>   rs.Open strSQL, Conn, 0, 1              ' <--Hier ist zeile
> 108!!!!!!!!!!!!!!!
>
>
>
> Besten DANK
>
>
>
> Grüsse
>
> marco
>
>
> ________________________________
>
> Von: activeserverpages-admin@glengamoi.com im Auftrag von
> Johann Voelker
> Gesendet: Fr 03.12.2004 20:12
> An: activeserverpages@glengamoi.com
> Betreff: RE: [ASP] Login geht immer noch nicht!!
>
>
>
> Hi Marco,
>
> > Select * from Benutzer Where Kd_Nr='xxxxx' AND password='xxxx'
> >
> > Müssen die Zeichen '' bei xxx drauf??
>
>
> bei password (String) müssen die '' sein, bei Kd_Nr (Zahl) würde
> ich sie weglassen.
>
> Ich muss zugeben, dein Problem wird mir langsam umheimlich, aber
> trotzdem muss es dafür einen logischen Grund geben.
>
> Dein Abfrage-String scheint ja Ordnung, trotzdem bekommst du keine
> Datensätze geliefert.
>
> Entferne vorerst in der SQL-Abfrage die WHERE-Klausel um einmal
> von da her keine Einschränkung zu haben und möglichst viele
> Datensätze geliefert zu kriegen - oder probiere folgenden Code um
> die Anzahl der Datensätze in der Tabelle Benutzer anzuzeigen:
>
>   rs = conn.execute ("SELECT Count(*) AS Anzahl FROM Benutzer")
>   Response.Write(rs("Anzahl") & " Datensätze wurden zurückgegeben!")
>   Response.End
>
> Probiere alles aus bis du Datensätze geliefert kriegst, dann
> kannst du immer noch mit WHERE einschränken  ;-)
>
> Johann
>
> _______________________________________________
> ActiveServerPages Mailingliste, Postings senden an:
> ActiveServerPages@glengamoi.com
> An-/Abmeldung und Suchfunktion unter:
> http://www.glengamoi.com/mailman/listinfo/activeserverpages
>
>
>