Jag kom just på att det är ju inte så lyckat att varken byta ut eller ta bort en inmatad snuff i ett lösenordsfält, resulterar ju i att användarens lösenord bytts till något han/hon inte vet vad det är =)

Finns en funktion som kollar om tecknet ' finns i en sträng?

något i stil med

IF InString(var_password, ') THEN response.redirect "changepass.asp?error=1"

Som sagt, låt användaren skriva in dessa tecken. De stör ingen och de blir säkra om du antingen byter ut ' mot \' eller använder dig av parametrar till ett command objekt (att föredra).

så o mjag kör ett command objekt så behöver jag inte ens bry mig om att modifiera med \' osv?

Det är det jag försökt komunicer till dig hela tiden. ;-)

Stämmer bra det. Alltså, om du använder parametrar till ett command objekt behöver du inte bry dig om att "säkra" strängen alls.

Anders, jag har inte tittat närmare på command-objektet ännu, bara som hastigast det som skrivits i forumet... det är därför den tråden fortfarande står som "öppen", jag har inte kommit dit i agendan ännu =)
hade jag redan satt mig in i och implementerat det så hade nog "your message gotten through to me" =) du skall ha tack för att du lagt ner dig på att beskriva det. Jag återkommer som sagt till den tråden när jag satt igång med det arbetet =) och (förmodligen) stöter på problem =p

jag tänkte se över mina sql frågor först och när jag väl fått kläm på hur man skall skriva dem optimalt, då tänkte jag samtidigt som jag skriver om dem bygga om det till command.

Låter som en bra idé tycker jag, så lycka till! ;)

Hur som helst är det en dum idé att spara lösenord i klartext i databasen. Kryptera eller hasha det inmatade lösenordet och spara det värdet i databasen. När användaren sedan loggar in gör du samma sak och jämför de krypterade lösenorden. På så sätt behöver du inte oroa dig för att alla lösenord ska komma på vift om någon lyckas hacka din applikation.

Jag blir ledsen i ögat när man trycker på 'glömt lösenord' och får ett mail med mitt gamla lösenord som svar. Det är helt galet.


/johan/
http://idstam.com/wp

typ genom att köra XOR eller nåt? sist jag frågade ang. lösenordskryptering fick jag till svar att använda password() i SQL satsen, finns det andra tekniker? (har för övrigt en fråd ang. just den password() under forumet MySQL).

Med XOR kan du ta fram den ursprungliga texten genom att hitta nyckeln du använt. En symmetrisk krypteringsalgoritm använder sig av XOR i kombination med andra tekniker för att göra krypteringen mer komplex.

Du har inte behov av att kunna få tillbaka texten för ett lösenord utan skapar i de fall användaren glömmer bort lösenordet ett nytt. Du ska alltså använda dig av någon Hash algoritm.

PASSWORD() funktionen i MySQL som jag tipsade om brukar jag använda. Den skapar alltid Hash strängar som är 40 + 1 tecken långa, och det är det lättaste sättet för dig att göra det säkert på eftersom ASP inte har något direkt stöd för kryptering.

tack. fattar.. tror jag =)