в вышеприведенном примере), запрос вернет «0м, что означает, что ни в одной

учетной записи нет такой комбинации имени и пароля.

58 8 Глава 11. Активные серверные страницы (ASP)





Перед тем как выдать запрос, ASP-сценарий должен установить соединение с базой данных, содержащей таблицу с именами и паролями учетных записей.

Метод server. Createobject в следующем коде создает объект соединения с ба — зой данных:





objMySQLCon. Connectionstring =

«DRIVER={MySQL};SERVER=NVBizNet;UID=root;PWD=;DATABASE=hwdtt»

objMySQLCon. Open

%>



Свойство объекта Connectionstring содержит значения, необходимые сцена- рию для регистрации в СУБД. В данном примере метод objMySQLCon. open ис —

пользует ODBC-драйвер для MySQL, чтобы присоединиться к СУБД MySQL на

NT-сервере с именем NVBizNet. Соединение регистрируется под именем (UID)

root, без пароля, и выбирает для использования базу данных hwdtt.

После установки соединения с СУБД можно выполнить запрос, воспользовав — шись методом Execute объекта соединения:



queryString = /

«SELECT COUNT(*) Count FROM siteAccessList» & _

» WHERE username = ‘ » & Request. Form(«username») & «‘» &

11 AND password = ‘» & Request. Form («password») & «‘»

Set objResultsSet = objMySQLCon. Execute(queryString)

If objResultsSet. Fields(«Count») = 1 Then

Response. Redirect «/hwdtt/MemberWelcome. asp» End If

%>

В данном примере сценарий использует метод Execute объекта соединения

(objMySQLCon) для передачи строки с запросом (queryString) СУБД MySQL, ко — торая, в свою очередь, выполняет запрос и возвращает строки столбцов, удовлет — воряющих критерию поиска (т. е. набор результатов запроса), в объекте objResultsSet.

В нашем примере запрос будет всегда возвращать одну строку результатов, в

столбце с именем count. (Приведенная в запросе функция count(*) — это агре — гатная функция SQL, возвращающая количество строк таблицы, удовлетворяю — щих условию (условиям) поиска в конструкции WHERE.) Если СУБД найдет в

таблице siteAccessList соответствующие имя и пароль, то поле Count будет содержать «1″ , и сценарий перенаправит браузер на начальную страницу защи- щенной области сайта. Если же имя или пароль, введенные в форме регистра —

ции, неверны, СУБД в поле Count вернет «0м. После этого сценарий перейдет к

HTML-дескрипторам и тексту (не показанным здесь), которые сообщат посети- телю, что ему следует повторить ввод имени и пароля.

Web-страница, содержащая форму регистрации, и ASP-страница со сценарием аутентификации, описанным в данном разделе, находятся в архиве

chptiiTipO9.zip, который доступен для выгрузки на Web-сайте издательства

РУССКОЯЗЫЧНОЙ редакции ЭТОЙ КНИГИ (http://www. diasoft. kiev. ua) .

Глава 11. Активные серверные страницы (ASP) 58 9





Обратите внимание, что задание атрибута type элемента формы равным «password» визуально скрывает текст, вводимый посетителем в этот элемент. (Браузер на месте каждого символа, вводимого пользователем, отображает звез —

дочку.) Но после того как посетитель щелкнет на кнопке «Вход», браузер посы — лает все данные, введенные в форму (в том числе и введенный пароль), в виде незашифрованного ASCII-текста. В этом случае какой-то злоумышленник сможет перехватить тело HTTP-сообщения (в виде обычного текста), в которое браузер поместил имя и пароль, посылаемые серверу.

Чтобы защитить важную информацию (наподобие имен пользователей и их паролей), попросите Internet-провайдера, предоставляющего хостинг для вашего сайта, установить протокол SSL. Провайдер должен сначала получить сертифи — кат безопасности {security certificate) для вашего сайта от специальной уполно — моченной фирмы, такой как VerySign Corporation (http://www. verysign. com), Thawte Consulting (http://thawte. com) ИЛИ Entrust (http://www. entrust. com). После того как провайдер установит на Web-сервере сертификат безопасности для вашего сайта, сервер и браузер будут шифровать свои HTTP-сообщения пе — ред отправкой их в Internet. Шифрование данных, передаваемых браузером и сер — вером, защищает данные, введенные в форму (и остальное содержимое сообще- ния), от несанкционированного доступа, поскольку теперь злоумышленник, глядя на тело зашифрованного HTTP-сообщения, увидит лишь непонятную ме- шанину из букв, цифр и специальных символов.