ASP＋Access的安全隐患及对策_ASP技巧

设计要求用户注册成功后系统启动hrmis.asp?page=1页面。如果不采用Session对象进行注册验证，则用户在浏览器中敲入“URL/hrmis.asp?page=1”即可绕过注册界面，直接进入系统。利用Session对象可以有效阻止这一情况的发生。相关的程序代码如下：

<％

' 读取用户输入的账号和密码

UserID = Request(“UserID”)

Password = Request(“Password”)

' 检查UserID 及Password 是否正确（实际程序可能会比较复杂）

If UserID <>“hrmis” Or Password <>

“password” Then

Response.Write “账号错误！”

Response.End

End If

'将Session 对象设置为通过验证状态

Session(“Passed”) = True

％>

进入应用程序后，首先进行验证：

<％

'如果未通过验证，返回Login状态

If Not Session(“Passed”) Then

Response.Redirect “Login.asp”

End If

％>