I forum Ricerca FAQ
Fai una domanda
Ultimo messaggio
ominoweb
ominoweb
l'11 luglio 2002 alle 03:04
22 messaggi dal 13 ottobre 2001
Sito in asp, regalo il codice mi aiutate a migliorarlo?

Salve a tutti,
Ho appena finito un sito che consente di pubblicare automaticamente i contenuti.
Se ci date un'occhiata e mi date il vostro giudizio mi fate un piacere!
il codice è sicuramente molto grezzo,però funziona tutto,spero!
questo è l'indirizzo
www.foggiaweb.net/intra
e questo è il pannello di controllo
www.foggiaweb.net/intra/admin/login.asp
il sito è diviso in 4 aree, chi siamo,la squadra,come fare per e logistica.
Ogni area ha una pwd diversa per accedere al pannello di controllo
eccole:
user pwd
a a
b b
c c
d d
Fate pure tutte le modifiche che volete!
fatemi sapere
grazie
da qui scaricate il sorgente:
www.foggiaweb.net/intra/scarica.asp

ps:
nella pagina go.asp all'inizio c'è una query sql con una union che credo sia fatta un po a "capa di c***o".
Se riuscite ad aggiustarla mi fate un piacere!




RispondiQuoting
rome
rome
l'11 luglio 2002 alle 03:44
2.907 messaggi dal 15 maggio 2001
Contributi
<b>ominoweb ha scritto:</b>
<BLOCKQUOTE id=quote><font size=1 face="Arial" id=quote><hr height=1 noshade id=quote>
il codice è sicuramente molto grezzo,però funziona tutto
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Arial" size=2 id=quote>

Prova ad inserire questo in qualsiasi campo '

funziona ??

da a parte gli scherzi fai un Replace dei singoli apici sui campi altrimenti possono bucarti il sistema

esempio

username=Replace(request.form("user"),"'","''")

Rome Webmaster



RispondiQuoting
ominoweb
ominoweb
l'11 luglio 2002 alle 03:49
22 messaggi dal 13 ottobre 2001
credo di averlo gia fatto!
perchè da qualche parte non c'è il replace?

RispondiQuoting
rome
rome
l'11 luglio 2002 alle 04:00
2.907 messaggi dal 15 maggio 2001
Contributi
Io ho provato ad inserire nel campo "password" ,mi sembra di ricordare, il carattere ' e la pagina successiva mi si è presentata come errore........ inserendo invece un valore a casaccio del tipo "mdodkd" mi è arrivato l'errore "utente inesistente" o qualcosa del genere........

Questo è segno che nel momento in cui io inserisco l'apice singolo avviene un errore interno e quindi è possibile "bucare" il sistema ;O)

Rome Webmaster

RispondiQuoting
ominoweb
ominoweb
l'11 luglio 2002 alle 16:03
22 messaggi dal 13 ottobre 2001
Hai ragione!!!!
Se metti nel campo password 'or' si riesce ad entrare!!!
E pensare che qualche giorno fa c'era larticolo su aspitalia sulle sqlinjection!!!!

RispondiQuoting

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.