impedir que un usuario se registro dos veces

juanes31516 · #1 (**permalink**) 05/05/2006, 06:47

como estan????

tengo funcionando bien dos paginas *.asp:

1. la primera es un formulario que permite que un usuario se registre y lleve sus datos a una tabla "usuarios" de una base de datos .

2. la otra es una pagina que permite que el usuario se loguee. si el nombre usuario y la contraseña es igual a la que ingreso en el formulario puede acceder.

las dos paginas funcionan bien con la base de datos que tiene una tabla llamada "usuarios"

LO QUE ME HACE FALTA ES QUE NO SE PERMITA QUE UN USUARIO SE REGISTRE DOS VECES, BASANDO ESTA VALIDACION EN UN CAMPO "nombre_usuario"

gracias

u_goldman · #2 (**permalink**) 05/05/2006, 09:06

Básicamente antes de hacer el insert de ese usuario necesitarás comprobar que ese usuario no haya sido tomado, puedes abrir un recordset para eso, si el recordset trae resultados, entonces quiere decir que ese usuario ya existe, por lo tanto no lo deberías dejar registrarse, de lo contrario continúas con tu proceso.

Saludos

juanes31516 · #3 (**permalink**) 06/05/2006, 09:35

gracias, u_goldman

pero la cuestion es............... como hacerlo???????????????????????????????????????????

he tratado con un if dentro de un while , pero la cosa es que no conozco bien estas sentencias

bonocl · #4 (**permalink**) 07/05/2006, 12:36

Hola...

La forma más fácil, es como dice goldman. Si el recordset es mayor a 0 entonces no haga el insert.

por ejemplo:

sql = "Select nombre_usuario FROM usuarios "
sql = sql & "Where nombre_usuario = " & request.form("userame")
rs.open sql, conn, 3, 1

if rs.recordcount > 0 then
"Algun texto de usuario creado y redireccionamiento a la página anterior"
end if

Suerte!

TolaWare · #5 (**permalink**) 07/05/2006, 13:07

Cita:

Iniciado por bonocl

Hola...

La forma más fácil, es como dice goldman. Si el recordset es mayor a 0 entonces no haga el insert.

por ejemplo:

sql = "Select nombre_usuario FROM usuarios "
sql = sql & "Where nombre_usuario = " & request.form("userame")
rs.open sql, conn, 3, 1

if rs.recordcount > 0 then
"Algun texto de usuario creado y redireccionamiento a la página anterior"
end if

Suerte!

Esto tiene un pequeño error:

Si yo en el formulario coloco asterisco, entonces burle el sistema.

Nunca se debe enviar directamente un campo a una consulta, debe ser validado previamente.

Saludos

u_goldman · #6 (**permalink**) 07/05/2006, 13:51

Es totalmente correcto lo que dice Tolaware, se deberia hacer mediante dos métodos:

1. Crear una función para convertir el valor llegaod de la forma, en la cuál deberías validar y quitar el posible SQL Injection.

2. -Lo que siempre recomiendo- Parametrizar las consultas mediante el uso del objeto command de ADO, esto impide en automático el uso de SQL Injection.

Saludos.

bonocl · #7 (**permalink**) 08/05/2006, 07:05

Totalmente cierto...

yo sólo quería ejemplificar el concepto nada más

juanes31516 · #8 (**permalink**) 08/05/2006, 16:53

alguien tiene un codigo a la mano que haga lo que quiero???, (mensaje principal de la discusion), lo que pasa es que no conozco casi nada de lo que ustedes hablan, (ado, sql injection......), totalmente perdido con esos terminos.

espero no sea mucho pedir,

gracias,
suerte

rrufo · #9 (**permalink**) 09/05/2006, 03:12

sql injection:
pues si a un consulta tipo
"Where nombre_usuario = " & request.form("userame")

le como al form algo como 1 or 1=1

pues se va al garete.
Where nombre_usuario = 1 or 1=1

y las tienes peores

JuanRAPerez · #10 (**permalink**) 09/05/2006, 18:02

Cita:

Iniciado por juanes31516

LO QUE ME HACE FALTA ES QUE NO SE PERMITA QUE UN USUARIO SE REGISTRE DOS VECES, BASANDO ESTA VALIDACION EN UN CAMPO "nombre_usuario"

Sera que un usuario no registre un nombre de usuario ya registrado, porque el mimso usuario se peude registrar varias veces incluso con el mismo correo

ejemplo
nom_usuario - email
juanra - [email protected]
juanra1 - [email protected]
juanra2 - [email protected]
juanra3 - [email protected]

esa es arina de otro costal

aqui va lo que querias (espero)

antes de el insert en tu base de el nuevo registro

Cita:

function limpia_cadena(str_a_limpiar)
str = lcase(str)
str = replace(str,"=","")
str = replace(str,"'","")
str = replace(str,"""""","")
str = replace(str," or ","")
str = replace(str," and ","")
str = replace(str,"(","")
str = replace(str,")","")
str = replace(str,"<","[")
str = replace(str,">","]")
str = replace(str,"having ","")
str = replace(str,"group by","")
str = replace(str,"union select sum","")
str = replace(str,"union select min","")
str = replace(str,"--","")
str = replace(str,"select ","")
str = replace(str,"insert ","")
str = replace(str,"update ","")
str = replace(str,"delete ","")
str = replace(str,"drop ","")
str = replace(str,"-shutdown","")
end function
'hay una mejor funcion en las FAQ de este foro (de ahi copie esta)
'la funcion la puedes meter en tu archivo de funciones

'luego recoges los campos
nombre_usuario = request("nombre_usuario")
nombre_usuario = limpia_cadena(nombre_usuario)
'...pones tus demas campos para enviarlos limpios de caracteres raros y o SQL Injection

'y basados en lo que han dicho los demas
sql = "Select nombre_usuario FROM usuarios "
sql = sql & "Where nombre_usuario = '" & nombre_usuario & "'"
rs.open sql, conn, 3, 1

if rs.recordcount > 0 then
response.redirect("error_usuario_yaexiste.asp?usua rio= " & nombre_usuario )
end if

creas una pagina llamada error_usuario_yaexiste.asp

Cita:

'recoges el usuario
nombre_usuario = request("usuario")
response.write "El Nombre de usuario " & nombre_usuario & " ya existe en la base de datos, intenga ingresando otro Nombre e Usuario

saludos