Tema: Seguridad con el String SQL
Ver Mensaje Individual
  #14 (permalink)  
Antiguo 03/05/2005, 21:14
Avatar de Neuron_376
Neuron_376
 
Fecha de Ingreso: abril-2005
Mensajes: 1.051
Antigüedad: 20 años, 1 mes
Puntos: 2
Jajaja
Se altero AZ... jejeje, bueno, mira, lo unico que puedes decir es si el password esta mal o bien, es decir solo tienes dos mensajes posibles:

1. Tus datos de accesos no son correctos.
2. Tu password no concuerda con tu nombre de usuario.

Esto lo hicieron por muchas razones:

1. En yahoo puedes tener muchas cuentas, entonces los usuarios son "despistados" y revuelven alias con contraseñas, esto provoca muchos e-mails innecesarios a soporte de usuarios para pedir datos revueltos, entonces esos mensajes ayudan a bajar ese trafico.

2. No les importo la seguridad porque son cuentas que cualquier persona puede saber el username de otra persona, no es secreto el username de una cuenta de correo para nadie.

3. Ya existen muchos programas que hacen una validacion de e-mails que te dicen si un username al azar existe o no.

Entonces bueno, no les importo la seguridad o la informacion de mas debido a que para ellos no es una medida muy necesaria...

Pero bueno, por eso optaron por la validacion con imagenes como tercer campo de seguridad, el cual les cubria ese hueco.

Y bueno, el problema de las dos consultas se arregla facil con un StoreProcedure ya compilado etc. el cual te regresa diferentes errores facilmente...

Y bueno... despues de este comentario, aclaro, a mi sigue sin gustarme esa opcion, tambien la considero mala opcion, y bueno, a lo que queria llegar finalmente es para "mamon" (a para nombrecito hee), bueno, otra opcion para evitar errores en este caso es crear la autentificacion dentro de un StoreProceure, algo como:

on error resume next
Rs = Conn.Execute("ValidarUsuario('" & usuario & "', '" & password "'")")

if Conn.Err ..... then
//Hubo un error en la consulta .... "Solo muesta el mensaje de que el usuario y la contraseña no existen, no necesitas mas"

Entonces el StoreProcedure simplemente por recibir parametros mal marcara error y la consulta ni siquiera se ejecutara

Aun asi la funcion de limpiar y validar el ASP es buena opcion, bueno... empezamos con reglas basicas, pero que son las que necesitas, ahora tienes tambien esta opcion mas avanzada pero la mas segura como ultima barrera de seguridad.

Suerte!!