在ASP程式設計中,身分認證可以說是常用來的。但怎麼樣才能做到認證的安全呢?
表單投稿頁面:sub.htm
<html>
<head>
<title>管理者登陸</title>
<body>
<form name=form1 method=post action=sub.asp>
<p> 管理員:
<input type=text name=UserID size=25 maxlength=20>
密碼:
<input type=text name=Pass size=12 maxlength=20>
<input type=submit name=Submit value=提交>
</p>
</form>
</body>
</html>
SUB.asp程式
<%
接收表單中的數據
user=request.from(UserID)
檢察表單提交的資料是否為空(表單頁面可能你用JAVASCRIPT OR VBSCRIPT控制了,但這裡也不要忘記控制!
if user= then
前往出錯提示頁面!
response.redirect err1.htm
這一句可能沒用,但加上為好!
response.end
end if
pass=request.from(Pass)
if pass= then
response.redirect err2.htm
response.end
end if
聯接資料庫
file=server.mappath(你的資料庫)
set conn=server.createobject(adodb.connection)
dr=driver={microsoft access driver (*.mdb)};dbq=&file
conn.open dr
set rs=server.createobject(adodb.recordset)
關鍵是這裡的SQL語言
sql=select * from 表where user= &user& and pass= &pass&
rs.open sql
if not rs.eof then
找到的話就進入管理頁面
reponse.redirect login.asp
else
沒找到就進入錯誤頁面
response.write err3.htm
end if
%>
大家覺得以上程式碼應該沒問題啊,但這裡有一個嚴重的安全隱憂:
我如果想登入管理員的話可以在SUb.htm表單輸入框中輸入:
在第一個文字方塊中輸入:a or 1 = 1 或OR =
第二個文字方塊中輸入:a or 1 = 1 或OR =
提交,大家會看到...嗚,聽我說完好不好,磚頭一會兒再丟過來...
a 和1為任意字符
有人會問為什麼你輸入這些字元會以管理員身分進入呢? ?
其實這些字元是對你程式中SQL語言的欺騙,而成功進入的
大家看:開始程式SQL中是對錶進行查詢滿足user= &user& and pass= &pass& 條件的記錄
sql=select * from 表where user= &user& and pass= &pass&
我而輸入上面的程式碼後就成了:
sql=select * from 表where user= a or 1 = 1 and pass= a or 1 = 1
大家看看,能有不進去的理由嗎? ?給我一個不進的理由,先!
以上USER PASS字段為字符型如果是數字型也一樣的道理!
解決方法:
一、函數替代法:
用REPLACE將用戶端輸入的內容中含有特殊字元進行替換,達到控制目的啊! sql=select * from 表where user= &replace(user, , )& and pass= &replace(pass, , )&
這種方法每次只能替換一個字符,其實危險的字符不只是,還有如>、<、&、%等字符應該全控制起來。但用REPLACE函數好像不太能勝任那怎麼辦呢? ?
二、程序控制法
用程式來對客戶端輸入的內容全部控制起來,這樣能全面控制用戶端輸入的任何可能的危險字元或程式碼,我就的這個方法!
<%
捕捉用戶端提交的表單內容
user=request.from(user)
pass=request.from(pass)
……
循環控制開始
for i=1 to len(user)
用MID函數讀出變數user中i 位置的一個字符
us=mid(user,i,1)
將讀出的字元進行比較
if us= or us=% or us=< or us=> or us=& then
若含有以上字符將出錯提示,則不能含有以上特殊字符
response.redirect err2.htm
response.end
end if
next
……
%>