用户登录问题

woniu453

我在做一个ASP论坛  ,没法解决用户登录问题请高手帮帮忙~~~
数据库名为bbs,包括bbs和users两个表,其中users用于存登录用户信息的.
我已建立一个文件内容如下:
<%
'连接BBS数据库
Dim db,connstr
connstr="Dbq="&Server.Mappath("bbs.mdb"&";Driver={Microsoft Access Driver (*.mdb)}"
Set db=Server.CreateObject("ADODB.Connection"
db.Open connstr
%>
在论坛首页有登录功能,提交给dl.asp文件处理,如果所填用户名(usertxt)与users表中存在相等的myname字段值,(密码字段类似),那么就重定向到userindex.asp页面. 其中dl.asp中的asp代码如下(可是老出错):
<%
   dim  usertxt,passwordtxt,rs,sql
   usertxt=request.form("usertxt"
   passwordtxt=request.form("passwordtxt"
   sql="select myname,password from users where myname=usertxt and password=passwordtxt"
   set rs=db.execute(sql)
   if not rs.bof and not rs.eof then
        response.redirect"userindex.asp"
   else
       response.redirect "请输入正确的用户名和密码!"
%>
请问哪个地方错了,(我已经把数据库连接文件包含进dl.asp文件了)14[/SIZE] blue[/COLOR]

cowherd

sql="select myname,password from users where myname=usertxt and password=passwordtxt"
这句有问题，应该是这样的：

sql="select myname,password from users where myname='"&usertxt&&"' and password='&passwordtxt"&"'"
不推荐这种方法验证,存在很大sql注入风险!

woniu453

我照你说的把程序部分改为:
sql="select myname,password from users where myname='"& usertxt &"'and password='"&passwordtxt &"'"
set rs=server.createobject("adodb.recordset"
rs.open sql,d,1
但是如果条件语句里的执行语句不改变位置的话就老是弹出"请输入正确的用户名和密码!"
而如下调整后就顺利登录.而且未注册的用户名也可以登录这说明没有起到验证效果.(我调整顺序也只是为了测试非条件语句有没语法错误)
if not rs.bof and not rs.eof then
       response.write "请输入正确的用户名和密码!"
else
     response.redirect"userindex.asp"
end if
这又得如何办好呢?

cowherd

这个if not rs.bof and not rs.eof 判断条件据说是不准确的！

查询返回了信息，不能根据not rs.bof and not rs.eof 来判断，具体是什么道理，我不知道，
但记得好像有这一说。总之不要作这样的登录判断。

woniu453

有没有其它断定方法?

cowherd

防止简单的注入可以这样
usertxt一定要先判断过滤一下，不准有空格，单引号，等号等特殊字符！然后再这样
sql="select myname,password from users where myname='"& usertxt &""'
set rs=server.createobject("adodb.recordset"
if RS("password" = passwordtxt
response.redirect"userindex.asp"
else
response.redirect "请输入正确的用户名和密码!"