Quando si usa un database per immagazzinare delle username e password per l'accesso ad alune parti del sito occorre prestare attenzione a proteggersi dagli attacchi che potrebbero permettere l'accesso anche a chi non autorizzato.
Uno dei più semplici attacchi è il SQL Iniection ossia inserendo l'istruzione che non indicherò per evitare che qualcuno provi a emularla è possibile bypassare la protezione e accedere al database.
L'istruzione che permette di difendersi è il replacement dell'apostrofo ' con un doppio apostrofo, ossia: Replace(username,"'","''")
Buona protezione
<%
usr=Request.Form("username")
psw=Request.Form("password")
Set Conn=Server.CreateObject("ADODB.Connection")
strConn="Driver={Microsoft Access Driver (*.mdb)};DBQ=" & Server.MapPath("/mdb-database/utenti.mdb")
Conn.Open strConn
sql = "SELECT usname,passw FROM tabella_utenti WHERE usname='"&replace(usr,"'","''")&"' AND passw='"&replace(psw,"'","''")&"'"
Set rs = Server.CreateObject("ADODB.Recordset")
rs.Open sql, conn ,3,3
ecc ecc ecc.........
%>
