用ASP技術編制隱藏用戶密碼程序
Internet(或Intranet)上帶權限的查詢,只有“合法用戶”才能進入。這種機制是通過Web程序實現的。在訪問過程中,如果程序設計得不好,就會將用戶口令暴露在地址欄里(舉一個例子:http://www.mmm.nnn/default.asp ?superusername=john&passwd=john123,用戶名john和密碼john123全露出來了),這樣系統就無保密和安全性可言了。怎樣避免這種現象的發生呢?本文將用一段ASP(Active Server pages)程序,來說明隱藏用戶名和口令的方法。
ASP是Microsoft公司處理動態網絡數據庫的最新技術之一,它可由Windows NT 平臺上的Web Server IIS4.0(Microsoft Internet Information Server4.0)解釋并發布信息,用活動數據對象ADO(ActiveX Data Object)組件并通過ODBC(Open Database Connectivity)訪問多種數據庫(后臺)。本文中用到的數據庫為ORACLE8,下邊這段ASP程序(名字為DEFAULT.ASP)所實現的功能是對數據庫的查詢操作,僅取其隱藏用戶名和密碼的一部分進行說明。
<% WEB_USER =Request("WEB_USER") ''WEB用戶名 %>
<% WEB_USER_PASSWD =Request("WEB_USER_PASSWD") ''WEB用戶的密碼 %>
<% ''將WEB用戶名和密碼加密,方法是,將變量值從左至右每個字符的ASCII碼加32,生成新的字符串,當執行到此時,地址行上顯示出的,是“加密”以后的用戶名和密碼,而不是真正的用戶名和密碼,達到保密目的% >
<% TEMP1="" % >
<% For i=1 To Len(WEB_USER) %>
<% TEMP2=Mid(WEB_USER,i,1) %>
<% TEMP2=Chr(Asc(TEMP2)+32) %>
<% TEMP1=TEMP1&TEMP2 %>
<% Next %>
<% WEB_USER=TEMP1 %>
<% TEMP1="" %>
<% For i=1 To Len(WEB_USER_PASSWD) %>
<% TEMP2=Mid(WEB_USER_PASSWD,i,1) %>
<% TEMP2=Chr(Asc(TEMP2)+32) %>
<% TEMP1=TEMP1&TEMP2 %>
<% Next %>
<% WEB_USER_PASSWD=TEMP1 %>
<%''建立和數據庫的連接,定義ODBC名字(odbcname)、ORACLE用戶名(orauser)及口令(orauser_passwd)%>
<%Set Conn = Server.CreateObject("ADODB.Connection")
Conn.Open "odbcname","orauser","orauser_passwd"
%>
<% ''建立查詢語句-SQL語句%>
<%
var_sql="SELECT * FROM verifytab,dw_tab where verifytab.user_pd=''"&WEB_USER_PASSWD&"''"
Set RS = Conn.Execute(var_sql) ’符合條件的記錄生成于RS之中%>
<%''將用戶名和口令翻譯成正確的 ,但此時地址欄里顯示不出來,達到了保密要求%>
<% TEMP1="" %>
<% For i=1 To Len(WEB_USER) %>
<% TEMP2=Mid(WEB_USER,i,1) %>
<% TEMP2=Chr(Asc(TEMP2)-32) %>
<% TEMP1=TEMP1&TEMP2 %>
<% Next %>
<% WEB_USER=TEMP1 %>
<% TEMP1="" %>
<% For i=1 To Len(WEB_USER_PASSWD) %>
<% TEMP2=Mid(WEB_USER_PASSWD,i,1) %>
<% TEMP2=Chr(Asc(TEMP2)-32) %>
<% TEMP1=TEMP1&TEMP2 %>
<% Next %>
<% WEB_USER_PASSWD=TEMP1 %>
<% ''驗證輸入的WEB用戶名和口令是否正確,若是,往下進行,否則,返回到default.htm調用,它是IIS默認的調用文件%>〈〉
<%If WEB_USER="superuser" and WEB_USER_PASSWD="superuserpd" Then
else
If RS.EOF Then
Response.Redirect("default.htm")
End If
End If
%>
<%''下邊是用FRONTPAGE 98 設計的FORM界面,內容省略%>
<html>
<head>
……
大家不妨試一下,瀏覽器端無任何不安全信息,保密效果很好。
ASP是Microsoft公司處理動態網絡數據庫的最新技術之一,它可由Windows NT 平臺上的Web Server IIS4.0(Microsoft Internet Information Server4.0)解釋并發布信息,用活動數據對象ADO(ActiveX Data Object)組件并通過ODBC(Open Database Connectivity)訪問多種數據庫(后臺)。本文中用到的數據庫為ORACLE8,下邊這段ASP程序(名字為DEFAULT.ASP)所實現的功能是對數據庫的查詢操作,僅取其隱藏用戶名和密碼的一部分進行說明。
<% WEB_USER =Request("WEB_USER") ''WEB用戶名 %>
<% WEB_USER_PASSWD =Request("WEB_USER_PASSWD") ''WEB用戶的密碼 %>
<% ''將WEB用戶名和密碼加密,方法是,將變量值從左至右每個字符的ASCII碼加32,生成新的字符串,當執行到此時,地址行上顯示出的,是“加密”以后的用戶名和密碼,而不是真正的用戶名和密碼,達到保密目的% >
<% TEMP1="" % >
<% For i=1 To Len(WEB_USER) %>
<% TEMP2=Mid(WEB_USER,i,1) %>
<% TEMP2=Chr(Asc(TEMP2)+32) %>
<% TEMP1=TEMP1&TEMP2 %>
<% Next %>
<% WEB_USER=TEMP1 %>
<% TEMP1="" %>
<% For i=1 To Len(WEB_USER_PASSWD) %>
<% TEMP2=Mid(WEB_USER_PASSWD,i,1) %>
<% TEMP2=Chr(Asc(TEMP2)+32) %>
<% TEMP1=TEMP1&TEMP2 %>
<% Next %>
<% WEB_USER_PASSWD=TEMP1 %>
<%''建立和數據庫的連接,定義ODBC名字(odbcname)、ORACLE用戶名(orauser)及口令(orauser_passwd)%>
<%Set Conn = Server.CreateObject("ADODB.Connection")
Conn.Open "odbcname","orauser","orauser_passwd"
%>
<% ''建立查詢語句-SQL語句%>
<%
var_sql="SELECT * FROM verifytab,dw_tab where verifytab.user_pd=''"&WEB_USER_PASSWD&"''"
Set RS = Conn.Execute(var_sql) ’符合條件的記錄生成于RS之中%>
<%''將用戶名和口令翻譯成正確的 ,但此時地址欄里顯示不出來,達到了保密要求%>
<% TEMP1="" %>
<% For i=1 To Len(WEB_USER) %>
<% TEMP2=Mid(WEB_USER,i,1) %>
<% TEMP2=Chr(Asc(TEMP2)-32) %>
<% TEMP1=TEMP1&TEMP2 %>
<% Next %>
<% WEB_USER=TEMP1 %>
<% TEMP1="" %>
<% For i=1 To Len(WEB_USER_PASSWD) %>
<% TEMP2=Mid(WEB_USER_PASSWD,i,1) %>
<% TEMP2=Chr(Asc(TEMP2)-32) %>
<% TEMP1=TEMP1&TEMP2 %>
<% Next %>
<% WEB_USER_PASSWD=TEMP1 %>
<% ''驗證輸入的WEB用戶名和口令是否正確,若是,往下進行,否則,返回到default.htm調用,它是IIS默認的調用文件%>〈〉
<%If WEB_USER="superuser" and WEB_USER_PASSWD="superuserpd" Then
else
If RS.EOF Then
Response.Redirect("default.htm")
End If
End If
%>
<%''下邊是用FRONTPAGE 98 設計的FORM界面,內容省略%>
<html>
<head>
……
大家不妨試一下,瀏覽器端無任何不安全信息,保密效果很好。