<%if request.form("login")="" then&>
|
<%else>
'eliminamos las posibles comillas de la entrada
'para evitar la introducción de sentencias SQL
login=replace(request.form("login"),"'","")
pass=replace(request.form("pass"),"'","")
Set Conn = Server.CreateObject("ADODB.Connection")
Conn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source="&Server.MapPath("/data/propercaPX.mdb")&";"set rs = CreateObject("ADODB.Recordset")
sqltxt="Select * from usuarios where login='"&login&"' and pass= '"&pass&"'"
'response.write sqltxt
rs.Open sqltxt, conn
if not rs.eof then
' nos ha devuelto un registro, ahora miraremos si es valido
' con ello evitamos el ataque típico SQL
if rs("login")=login and rs("pass")=pass then
' si el usuario esta en la base de datos y la pass coincide
session("autorizacion")=1
response.redirect "descargasx.asp"
end if
else
session("autorizacion")=-1
end if
rs.close
set rs=nothing
conn.close
set conn=nothing
if session("autorizacion")=-1 or session("autorizacion")="" then
' no hemos encontrado el registro
' eso indica que el usuario y/o la pass son erroneos
response.redirect "login.asp?msg=Usuario o password incorrecto"
end if
end if%> |
|
|
