At 02:58 PM 3/1/2002 +0100, you wrote:
>Bitte um Hilfe! Die mailpwd.asp hatte ich schon geandert. Hattest eine alte
>Version.
ich habe das Zip vom Server genommen.
>Bei allen anderen ist mir nicht ganz klar, was Du meinst.
>
> > logon.asp
> >
> > Response.Cookies(strUniqueID & "User")("Name") = rs("Username")
> > Response.Cookies(strUniqueID & "User")("Pword") = rs("PWD")
a) Du verwendest die Cookies nie (Sessionvariablen checken ob Login ok ist
oder nicht)
b) Ein Cookie ist Klartext - das Passwort im Klartext in einem Cookie am
Rechner des Clients?
> > logout.asp
> >
> > Response.Cookies("Snitz00User")("Name") = ""
> > Response.Cookies("Snitz00User")("Pword") = ""
hier ist Snitz00 hardcodiert, in logon.asp ist es eine Variable. B�se
�berraschungen vorprogrammiert.
> > mailpwd.asp
> >
> > strEmail = Request.Form("Email")
> > strUsername = Request.Form("Username")
SQL Injection. Es fehlt at least Replace(str, "'", "''")
> > config.asp
> >
> > nID = Request.QueryString("ID")
> > If nID = "" THEN nID = Request.Form("ID") END IF
Ebenfalls SQL Injection. nID wird ungepr�ft in einen SQL String eingebaut.
Chris
| [aspdecoffeehouse] als [email protected] subscribed
| http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv
| Sie k�nnen sich unter folgender URL an- und abmelden:
| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
