<%@LANGUAGE="VBSCRIPT" CODEPAGE="1252"%>
Documento sin título
<%if request.form("usuario")="" then%>
<%else
'eliminamos las posibles comillas de la entrada
'para evitar la introducción de sentencias SQL
usuario=replace(request.form("usuario"),"'","")
password=replace(request.form("password"),"'","")
Set Conn = Server.CreateObject("ADODB.Connection")
Conn.Open "laroda.es.control", "administrador", "Majano"
set rs = CreateObject("ADODB.Recordset")
sqltxt="SELECT * FROM usuarios where usuario='"& usuario & "' and password='"&password&"'"
rs.Open sqltxt, conn
if not rs.eof then
' nos ha devuelto un registro, ahora miraremos si es valido
' con ello evitamos el ataque típico SQL
if rs("usuario")=usuario and rs("password")=password then
' si el usuario esta en la base de datos y la password coincide
session("autorizacion")=rs("nivel")
session("menu1")=rs("menu1")
session("uploadpath2")=rs("uploadpath2")
session("uploadpathC")=rs("uploadpathC")
session("uploadpathsmall")=rs("uploadpathsmall")
session("basepath")=rs("basepath")
session("principal")=rs("principal")
session("ruta")=rs("ruta")
session("descripcion")=rs("descripcion")
session("titulo")=rs("titulo")
session("menu2")=rs("menu2")
session("menu3")=rs("menu3")
session("menu4")=rs("menu4")
session("menu5")=rs("menu5")
session("menu6")=rs("menu6")
session("menu7")=rs("menu7")
session("menu8")=rs("menu8")
session("menu10")=rs("menu10")
session("menu11")=rs("menu11")
session("menu12")=rs("menu12")
session("imagenes")=rs("imagenes")
response.redirect "menu.asp"
end if
else
session("autorizacion")=-1
end if
rs.close
set rs=nothing
conn.close
set conn=nothing
if session("autorizacion")=-1 or session("autorizacion")="" then
' no hemos encontrado el registro
' eso indica que el usuario y/o la password son erroneos
response.redirect "login.asp?msg=Usuario%20o%20password%20incorrecta"
end if
end if%>