>Man klicke auf +intern+, klicke einfach den Anmelden Button, und gehe
dann
>zB auf +termine+. Ei Wunder, ohne Username und Passwort hat man
>Vollzugriff... mich t�te interessieren, wo der Programmierer da falsch
>abgebogen ist...
Sowas ist mir auch schon passiert, habe es allerdings noch vor dem
Online Betrieb gemerkt.
Die Ursache war eine Komponente f�r User, man konnte user anlegen,
l�schen etc.
Die Kompenente hat dann je nach gesetzten Properties einen Sql String
zusammengesetzt,
Also z.B. Wenn username <> "" then ....
Naja, wenn man also keinen usernamen und kein Passwort angegeben hatte,
wurde ein ganz gerade Select Produziert, nach dem Motto Select iUser_ID
from tbl_User ohne Wherebedingung.
Da mein Adminuser der Erste in der Tabelle war, wurde der auch getroffen
und oh wunder, man hatte alle rechte!!!!
lg
Alex
PS: Jedes noch so tolle Programmteil auf Herz und Nieren testen, und
dann auch noch einen Kollegen testen lassen.
Wichtig ist auch, nicht zu versuchen, das zu machen, was die Komponente
erwartet, sondern dass, was sie nicht erwartet - aber dass wei� eh
jeder, oder? :-)
| [aspdecoffeehouse] als [email protected] subscribed
| http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv
| Sie k�nnen sich unter folgender URL an- und abmelden:
| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
