用ASP技术编制隐藏用户密码程序
新客网 XKER.COM 2004-03-19 来源: 收藏本文
用ASP技术编制隐藏用户密码程序
摘自:软件世界 作者:阿干
Internet(或Intranet)上带权限的查询,只有“合法用户”才能进入。这种机制是通过Web程序实现的。在访问过程中,如果程序设计得不好,就会将用户口令暴露在地址栏里(举一个例子:http://www.mmm.nnn/default.asp ?superusername=john&passwd=john123,用户名john和密码john123全露出来了),这样系统就无保密和安全性可言了。怎样避免这种现象的发生呢?本文将用一段ASP(Active Server pages)程序,来说明隐藏用户名和口令的方法。
ASP是Microsoft公司处理动态网络数据库的最新技术之一,它可由Windows NT 平台上的Web Server IIS4.0(Microsoft Internet Information Server4.0)解释并发布信息,用活动数据对象ADO(ActiveX Data Object)组件并通过ODBC(Open Database Connectivity)访问多种数据库(后台)。本文中用到的数据库为ORACLE8,下边这段ASP程序(名字为DEFAULT.ASP)所实现的功能是对数据库的查询操作,仅取其隐藏用户名和密码的一部分进行说明。
<% WEB_USER =Request("WEB_USER") 'WEB用户名 %>
<% WEB_USER_PASSWD =Request("WEB_USER_PASSWD") 'WEB用户的密码 %>
<% '将WEB用户名和密码加密,方法是,将变量值从左至右每个字符的ASCII码加32,生成新的字符串,当执行到此时,地址行上显示出的,是“加密”以后的用户名和密码,而不是真正的用户名和密码,达到保密目的% >
<% TEMP1="" % >
<% For i=1 To Len(WEB_USER) %>
<% TEMP2=Mid(WEB_USER,i,1) %>
<% TEMP2=Chr(Asc(TEMP2)+32) %>
<% TEMP1=TEMP1&TEMP2 %>
<% Next %>
<% WEB_USER=TEMP1 %>
<% TEMP1="" %>
<% For i=1 To Len(WEB_USER_PASSWD) %>
<% TEMP2=Mid(WEB_USER_PASSWD,i,1) %>
<% TEMP2=Chr(Asc(TEMP2)+32) %>
<% TEMP1=TEMP1&TEMP2 %>
<% Next %>
<% WEB_USER_PASSWD=TEMP1 %>
<%'建立和数据库的连接,定义ODBC名字(odbcname)、ORACLE用户名(orauser)及口令(orauser_passwd)%>
<%Set Conn = Server.CreateObject("ADODB.Connection")
Conn.Open "odbcname","orauser","orauser_passwd"
%>
<% '建立查询语句-SQL语句%>
<%
var_sql="SELECT * FROM verifytab,dw_tab where verifytab.user_pd='"&WEB_USER_PASSWD&"'"
Set RS = Conn.Execute(var_sql) ’符合条件的记录生成于RS之中%>
<%'将用户名和口令翻译成正确的 ,但此时地址栏里显示不出来,达到了保密要求%>
<% TEMP1="" %>
<% For i=1 To Len(WEB_USER) %>
<% TEMP2=Mid(WEB_USER,i,1) %>
<% TEMP2=Chr(Asc(TEMP2)-32) %>
<% TEMP1=TEMP1&TEMP2 %>
<% Next %>
<% WEB_USER=TEMP1 %>
<% TEMP1="" %>
<% For i=1 To Len(WEB_USER_PASSWD) %>
<% TEMP2=Mid(WEB_USER_PASSWD,i,1) %>
<% TEMP2=Chr(Asc(TEMP2)-32) %>
<% TEMP1=TEMP1&TEMP2 %>
<% Next %>
<% WEB_USER_PASSWD=TEMP1 %>
<% '验证输入的WEB用户名和口令是否正确,若是,往下进行,否则,返回到default.htm调用,它是IIS默认的调用文件%>〈〉
<%If WEB_USER="superuser" and WEB_USER_PASSWD="superuserpd" Then
else
If RS.EOF Then
Response.Redirect("default.htm")
End If
End If
%>
<%'下边是用FRONTPAGE 98 设计的FORM界面,内容省略%>
<html>
<head>
……
大家不妨试一下,浏览器端无任何不安全信息,保密效果很好。
摘自:软件世界 作者:阿干
Internet(或Intranet)上带权限的查询,只有“合法用户”才能进入。这种机制是通过Web程序实现的。在访问过程中,如果程序设计得不好,就会将用户口令暴露在地址栏里(举一个例子:http://www.mmm.nnn/default.asp ?superusername=john&passwd=john123,用户名john和密码john123全露出来了),这样系统就无保密和安全性可言了。怎样避免这种现象的发生呢?本文将用一段ASP(Active Server pages)程序,来说明隐藏用户名和口令的方法。
ASP是Microsoft公司处理动态网络数据库的最新技术之一,它可由Windows NT 平台上的Web Server IIS4.0(Microsoft Internet Information Server4.0)解释并发布信息,用活动数据对象ADO(ActiveX Data Object)组件并通过ODBC(Open Database Connectivity)访问多种数据库(后台)。本文中用到的数据库为ORACLE8,下边这段ASP程序(名字为DEFAULT.ASP)所实现的功能是对数据库的查询操作,仅取其隐藏用户名和密码的一部分进行说明。
<% WEB_USER =Request("WEB_USER") 'WEB用户名 %>
<% WEB_USER_PASSWD =Request("WEB_USER_PASSWD") 'WEB用户的密码 %>
<% '将WEB用户名和密码加密,方法是,将变量值从左至右每个字符的ASCII码加32,生成新的字符串,当执行到此时,地址行上显示出的,是“加密”以后的用户名和密码,而不是真正的用户名和密码,达到保密目的% >
<% TEMP1="" % >
<% For i=1 To Len(WEB_USER) %>
<% TEMP2=Mid(WEB_USER,i,1) %>
<% TEMP2=Chr(Asc(TEMP2)+32) %>
<% TEMP1=TEMP1&TEMP2 %>
<% Next %>
<% WEB_USER=TEMP1 %>
<% TEMP1="" %>
<% For i=1 To Len(WEB_USER_PASSWD) %>
<% TEMP2=Mid(WEB_USER_PASSWD,i,1) %>
<% TEMP2=Chr(Asc(TEMP2)+32) %>
<% TEMP1=TEMP1&TEMP2 %>
<% Next %>
<% WEB_USER_PASSWD=TEMP1 %>
<%'建立和数据库的连接,定义ODBC名字(odbcname)、ORACLE用户名(orauser)及口令(orauser_passwd)%>
<%Set Conn = Server.CreateObject("ADODB.Connection")
Conn.Open "odbcname","orauser","orauser_passwd"
%>
<% '建立查询语句-SQL语句%>
<%
var_sql="SELECT * FROM verifytab,dw_tab where verifytab.user_pd='"&WEB_USER_PASSWD&"'"
Set RS = Conn.Execute(var_sql) ’符合条件的记录生成于RS之中%>
<%'将用户名和口令翻译成正确的 ,但此时地址栏里显示不出来,达到了保密要求%>
<% TEMP1="" %>
<% For i=1 To Len(WEB_USER) %>
<% TEMP2=Mid(WEB_USER,i,1) %>
<% TEMP2=Chr(Asc(TEMP2)-32) %>
<% TEMP1=TEMP1&TEMP2 %>
<% Next %>
<% WEB_USER=TEMP1 %>
<% TEMP1="" %>
<% For i=1 To Len(WEB_USER_PASSWD) %>
<% TEMP2=Mid(WEB_USER_PASSWD,i,1) %>
<% TEMP2=Chr(Asc(TEMP2)-32) %>
<% TEMP1=TEMP1&TEMP2 %>
<% Next %>
<% WEB_USER_PASSWD=TEMP1 %>
<% '验证输入的WEB用户名和口令是否正确,若是,往下进行,否则,返回到default.htm调用,它是IIS默认的调用文件%>〈〉
<%If WEB_USER="superuser" and WEB_USER_PASSWD="superuserpd" Then
else
If RS.EOF Then
Response.Redirect("default.htm")
End If
End If
%>
<%'下边是用FRONTPAGE 98 设计的FORM界面,内容省略%>
<html>
<head>
……
大家不妨试一下,浏览器端无任何不安全信息,保密效果很好。
最新相关文章- ·ASP+ACCESS数据库中文乱码问题解决
- ·编程实例 字母+数字验证码程序
- ·ASP连接数据库错误解决办法新法
- ·初学:ASP内建对象Response
- ·ASP网站Server object error的解决办法
- ·ASP技巧:让Len,Left,Right函数识别中文
- ·把网页中的电话号码生成图片的ASP程序
- ·ASP如何实现IE地址栏参数的判断
- ·细化解析:ASP连接11种数据库语法集锦
- ·ASP实现网页打开任何类型文件都保存
- ·ASP代码直接增加、删除ACCESS表和字段
- ·ASP:判断访问是否来自搜索引擎的函数
- ·ASP技巧:禁用页面缓存的五种方法
- ·学习ASP关于与变量子类型相关的函数
- ·ASP开发中的(VBScript)类基础学习
- ·ASP访问Excel文件
发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
- 使用bcdedit 更改windows vista 的启动顺序
- Session丢失问题解决方案
- NTFS文件系统的安全属性
- 在DataGridView中获得DataGridViewCheckBoxColumn
- asp http 500 - 内部服务器错误 请求的资源在使用
- windows内核初窥(一)------体系结构
- WIN32下DELPHI中的多线程【线程的调度】(二)
- 一种Windows下线程同步的实现方法
- windows内核初窥(二)-----系统机制
- WIN32下DELPHI中的多线程【变量存储】(三)
- 【最新】IP 地址分配表(14)
- 关于DataGridView中如何接收处于编辑状态下的当前
- Microsoft Internet Transfer Control 使用简介(
- [小技巧]winfrom使用多线程
- 八大法则杜绝ASP网站漏洞入侵
随机推荐
实用信息推荐