<%if request.form("usuario")="" then%>
National Achiever / Achiever Jackets
<%else
'eliminamos las posibles comillas de la entrada
'para evitar la introducción de sentencias SQL
usuario=replace(request.form("usuario"),"'","")
password=replace(request.form("password"),"'","")
Set Conexion = Server.CreateObject("ADODB.Connection")
Conexion.Open MM_achiever_STRING
sql="Select * from login where username='"&usuario&"' and password= '"&password&"'"
'response.write sql
Set rs=conexion.Execute (sql)
if not rs.eof then
' nos ha devuelto un registro, ahora miraremos si es valido
' con ello evitamos el ataque típico SQL
if rs("username")=usuario and rs("password")=password then
' si el usuario esta en la base de datos y la password coincide
session("autorizacion")=1
Session.TimeOut = 30
plantilla = "staff.asp"
response.redirect(plantilla)
end if
else
session("autorizacion")=-1
end if
rs.close
set rs=nothing
if session("autorizacion")=-1 or session("autorizacion")="" then
' no hemos encontrado el registro
' eso indica que el usuario y/o la password son erroneos
response.redirect "login.asp?msg=Username%20or%20password%20error!"
end if%>
<%end if%>