Validar campo Usuario y password...

garciamod270304 · #1 (**permalink**) 27/07/2009, 13:06

Saludos amigos del foro, espero esten todos muy bien. Tengo una pequeña aplicación donde el usuario debe colocar el nombre de usuario y la contraseña. Pero no le tengo ninguna validación a los campos. Pues coloco ' or '1'='1 en los campo y logra pasar la inyección, por ende necesito validar los campos donde no puedan colocar simbolos o las comillas. Este es el siguiente código que utilizo:

Muzztein · #2 (**permalink**) 27/07/2009, 13:12

1) Checa el FAQ y paseate por la biblioteca de funciones, hay muchas funciones que permiten hacerle el quite al SQL INJECTION.

2) no es necesario hacer el select count(*) from tabla where usuario = '"& usuario &"' and password = '"& password &"' para validar si la password esta correcta.
recoge la password asi select password from tabla whre usuario = '"& usuario &"'
luego el resultado lo comparas con la password entregada y te olvidas del asunto del SQL INJECTION

3) el SQL INJETION solo es EXPLOTABLE si es que no manejas los errores.
Usa ON ERROR RESUME NEXT y aprende a progamar de manera que tu propio codigo maneje los errores por si solo.

garciamod270304 · #3 (**permalink**) 27/07/2009, 13:34

Gracias por la ayuda Muzztein y tomare en cuenta de buscar en las faq. Por otra parte este es el código que utilizo, donde "CREO" comparo los resultados pero igual pasa:

ssql = "select * from usuario,vendedor where usuario.nombre_usuario='" & request.form("usuario") & "' and usuario.clave_usuario='" & request.form("clave") & "' and usuario.id_usuario=vendedor.id_vendedor"
Set con = Server.CreateObject("ADODB.Connection")
con.open "Provider=Microsoft.Jet.OLEDB.4.0;Data source=" & server.MapPath("bd.mdb")
set rs = con.Execute(sSQL)

Adler · #4 (**permalink**) 27/07/2009, 15:03

Cita:

Iniciado por garciamod270304

Gracias por la ayuda Muzztein y tomare en cuenta de buscar en las faq. Por otra parte este es el código que utilizo, donde "CREO" comparo los resultados pero igual pasa:

ssql = "select * from usuario,vendedor where usuario.nombre_usuario='" & request.form("usuario") & "' and usuario.clave_usuario='" & request.form("clave") & "' and usuario.id_usuario=vendedor.id_vendedor"
Set con = Server.CreateObject("ADODB.Connection")
con.open "Provider=Microsoft.Jet.OLEDB.4.0;Data source=" & server.MapPath("bd.mdb")
set rs = con.Execute(sSQL)

Hola

No has seguido ni una sola de las indicaciones que Muzztein te dio. Vuelve a revisarlas e intentalo de nuevo

Suerte

ric18 · #5 (**permalink**) 31/07/2009, 23:11

Quizás puedas usar algo así para evitarlo

Código PHP:

  function prepara_str_para_login(str)

str = trim(str)

str = ucase(str)

str = replace(str,"=","")

str = replace(str,"'","'")

str = replace(str,"""""","")

str = replace(str," or ","")

str = replace(str," and ","")

str = replace(str,"(","")

str = replace(str,")","")

str = replace(str,"<","[")

str = replace(str,">","]")

str = replace(str,"--","")

str = replace(str,"select","")

str = replace(str,"insert","")

str = replace(str,"update","")

str = replace(str,"delete","")

str = replace(str,"drop","")

str = replace(str,"-shutdown","")

str = replace(str,"--","")

prepara_str_para_login = str

end function

Saludos