Pagina de logeo

Sonda · #1 (**permalink**) 23/06/2010, 12:05

Necesito de vuestra ayuda!!!
Tengo este script para una paginita de logeo, el inconveniente es que no me puedo logear con más de un usuario siempre toma nada más que uno me podrían ayudar?
Gracias.

Código ASP:

Ver originalfunction stripQuotes(strWords) 
stripQuotes = replace(strWords, "'", "''") 
end function 
function sanitize(strWords) 
 
dim badChars 
dim newChars 
 
badChars = array("select", "drop", ";", "--", "insert", "delete", "xp_", "#", "%", "&", "'", ";", "=", "?", "`", "|") 
newChars = strWords 
 
for i = 0 to uBound(badChars) 
newChars = replace(newChars, badChars(i) , "") 
next 
 
sanitize = newChars 
 
end function 
 
if Request.ServerVariables("REQUEST_METHOD") = "POST" Then
strUser = sanitize( request.form("user") )
strPass = sanitize( request.Form("pass") )
 
strSQL = "SELECT * FROM T_USERS"
 
Set Rs = Server.CreateObject("ADODB.Recordset")
Rs.ActiveConnection = strConn
Rs.Source = strSQL
Rs.CursorType = 2
Rs.CursorLocation = 2
Rs.LockType = 1
Rs.Open()
 
Rs.MoveFirst
While Not Rs.EOF
 
if strUser = rs("usuario") AND strPass = rs("contrasena") Then
userFound = 1
theUser = rs("usuario")
else
userFound = 0
End if
Rs.MoveNext
 
Wend
 
Rs.close()
set Rs = nothing
 
if userFound = 1 Then
Session("adminLogged") = true
Session("usuario") = theUser
response.Redirect("./?")
 
else
response.Redirect("login.asp?error=nouser")
end if
else

jochesfor · #2 (**permalink**) 23/06/2010, 12:25

Sonda, estas sobrecargando a tu servidor de forma inecesaria, haces una consulta y luego buscas uno a uno, mejor agrega la busqueda a tu Select, asi:

strSQL = "SELECT Top 1 * FROM T_USERS WHERE usuario='"& strUser &"' AND contrasena='" & strPass & "'"

if Not Rs.EOF then
'es un usuario valido y realizas lo que quieras
else
'usuario invalido
end if

Sonda · #3 (**permalink**) 23/06/2010, 12:29

Perfecto es verdad lo que decis jochesfor agradezco infinitamente tu ayuda. Abrazo.

Sonda · #4 (**permalink**) 23/06/2010, 14:45

Me funciono de mil maravillas jochesfor

quedo así entonces

Código ASP:

Ver originalif Not Rs.EOF then
'es un usuario valido y realizas lo que quieras
 
if strUser = rs("usuario") AND strPass = rs("contrasena") Then
response.Redirect("./?")
 
Session("adminLogged") = true
Session("username") = theUser
end if 
 
else
'usuario invalido 
 
response.Redirect("login.asp?error=nouser")
end if
 
Rs.close()
set Rs = nothing

jochesfor · #5 (**permalink**) 23/06/2010, 15:41

Con gusto, puedes agregarle antes de hacer la consulta esto:

Nombre=replace(TRIM(Nombre),"'","")
password=replace(TRIM(Clave),"'","")

para evitar el Sql Injection

jochesfor · #6 (**permalink**) 23/06/2010, 15:43

Sonda, no veo tu codigo completo pero creo que esto te esta sobrando,
if strUser = rs("usuario") AND strPass = rs("contrasena") Then, esto ya lo hace la consulta y no es necesario volverlo a hacer.

Sonda · #7 (**permalink**) 24/06/2010, 06:53

Si ya lo quite y agrege replace para evitar el Sql Injection, gracias jochesfor por tu gran ayuda. Abrazo