---

hej jeg har et nok nemt problem men jeg kan sku ikke lige se hvad
det er jeg skal gøre så jeg vil gerne lige spørge om jeres hjælp.

jeg har lavet således at man i på en asp side indtaster en masse
data i en form og derefter sender den det til en insert into
fil?? <--ved ikke hvad det hedder.

her er min modtagelses fil hvor jeg skal have sat mit
request.form ind.

<!-- #include file="chklogin.asp" -->
<!-- #include file="dataconn.asp" -->
<html>
<title>opretter nyheder</title>
<link href="../css/mainstyle.css" rel="stylesheet"
media="screen">
<head>
</head>
<body>
<%


' SQL sætning opbygges
strSQL = "Insert into csklan ("

strSQL = strSQL & "klannavn, "
strSQL = strSQL & "klantype, "
strSQL = strSQL & "email, "
strSQL = strSQL & "web, "
strSQL = strSQL & "ircchan, "
strSQL = strSQL & "klantag) "

strSQL = strSQL & "values( "

strSQL = strSQL & "'klannavn', "<----her skal det indsættes
strSQL = strSQL & "'klantype', "<----her skal det indsættes
strSQL = strSQL & "'email', "<----her skal det indsættes
strSQL = strSQL & "'web', "<----her skal det indsættes
strSQL = strSQL & "'ircchan', "<----her skal det indsættes
strSQL = strSQL & "'klantag')"<----her skal det indsættes

' SQL sætning eksekveres
Conn.Execute(strSQL)

' Luk databaseforbindelse
Conn.Close
Set Conn = Nothing
%>
<h1>Databasen er opdateret!</h1>
</body>
</html>

(<----her skal det indsættes)
er i den del hvor jeg skal have request.form ind og stå.


håber på jeres hjælp til et måske nemt spørgsmål, og på forhånd
tak for hjælpen.



--
Danmarks største specialiserede IT jobdatabase
- Udelukkende med IT- og internetrelaterede jobs
- Opret en profil og lad drømmejobbet finde dig
KLIK HER! => http://www.html.dk/job

---

"Christian Conradsen" <chrisjon@vip.cybercity.dk> skrev i en meddelelse
news:b1ium1$7l8$1@sunsite.dk...
> hej jeg har et nok nemt problem men jeg kan sku ikke lige se hvad
> det er jeg skal gøre så jeg vil gerne lige spørge om jeres hjælp.
>
> jeg har lavet således at man i på en asp side indtaster en masse
> data i en form og derefter sender den det til en insert into
> fil?? <--ved ikke hvad det hedder.
>
> her er min modtagelses fil hvor jeg skal have sat mit
> request.form ind.
>
> <!-- #include file="chklogin.asp" -->
> <!-- #include file="dataconn.asp" -->
> <html>
> <title>opretter nyheder</title>
> <link href="../css/mainstyle.css" rel="stylesheet"
> media="screen">
> <head>
> </head>
> <body>
> <%
>
>
> ' SQL sætning opbygges
> strSQL = "Insert into csklan ("
>
> strSQL = strSQL & "klannavn, "
> strSQL = strSQL & "klantype, "
> strSQL = strSQL & "email, "
> strSQL = strSQL & "web, "
> strSQL = strSQL & "ircchan, "
> strSQL = strSQL & "klantag) "
>
> strSQL = strSQL & "values( "
>
> strSQL = strSQL & "'klannavn', "<----her skal det indsættes
> strSQL = strSQL & "'klantype', "<----her skal det indsættes
> strSQL = strSQL & "'email', "<----her skal det indsættes
> strSQL = strSQL & "'web', "<----her skal det indsættes
> strSQL = strSQL & "'ircchan', "<----her skal det indsættes
> strSQL = strSQL & "'klantag')"<----her skal det indsættes
>
> ' SQL sætning eksekveres
> Conn.Execute(strSQL)
>
> ' Luk databaseforbindelse
> Conn.Close
> Set Conn = Nothing
> %>
> <h1>Databasen er opdateret!</h1>
> </body>
> </html>
>
> (<----her skal det indsættes)
> er i den del hvor jeg skal have request.form ind og stå.
>
>
> håber på jeres hjælp til et måske nemt spørgsmål, og på forhånd
> tak for hjælpen.
>
>
>
> --
> Danmarks største specialiserede IT jobdatabase
> - Udelukkende med IT- og internetrelaterede jobs
> - Opret en profil og lad drømmejobbet finde dig
> KLIK HER! => http://www.html.dk/job

---

Hej og undskyld det ubrugelige svar tidligere.

Du kan bruge:
' SQL sætning opbygges
strSQL = "Insert into csklan ("

strSQL = strSQL & "klannavn, "
strSQL = strSQL & "klantype, "
strSQL = strSQL & "email, "
strSQL = strSQL & "web, "
strSQL = strSQL & "ircchan, "
strSQL = strSQL & "klantag) "

strSQL = strSQL & "values("

strSQL = strSQL & "'" & Request.Form("klannavn") & "', "
strSQL = strSQL & "'" & Request.Form("klannavn") & "', "
strSQL = strSQL & "'" & Request.Form("email") & "', "
strSQL = strSQL & "'" & Request.Form("web") & "', "
strSQL = strSQL & "'" & Request.Form("ircchan") & "', "
strSQL = strSQL & "'" & Request.Form("klantag") & "') "

Venlig hilsen Kim

"Christian Conradsen" <chrisjon@vip.cybercity.dk> skrev i en meddelelse
news:b1ium1$7l8$1@sunsite.dk...
> hej jeg har et nok nemt problem men jeg kan sku ikke lige se hvad
> det er jeg skal gøre så jeg vil gerne lige spørge om jeres hjælp.
>
> jeg har lavet således at man i på en asp side indtaster en masse
> data i en form og derefter sender den det til en insert into
> fil?? <--ved ikke hvad det hedder.
>
> her er min modtagelses fil hvor jeg skal have sat mit
> request.form ind.
>
> <!-- #include file="chklogin.asp" -->
> <!-- #include file="dataconn.asp" -->
> <html>
> <title>opretter nyheder</title>
> <link href="../css/mainstyle.css" rel="stylesheet"
> media="screen">
> <head>
> </head>
> <body>
> <%
>
>
> ' SQL sætning opbygges
> strSQL = "Insert into csklan ("
>
> strSQL = strSQL & "klannavn, "
> strSQL = strSQL & "klantype, "
> strSQL = strSQL & "email, "
> strSQL = strSQL & "web, "
> strSQL = strSQL & "ircchan, "
> strSQL = strSQL & "klantag) "
>
> strSQL = strSQL & "values( "
>
> strSQL = strSQL & "'klannavn', "<----her skal det indsættes
> strSQL = strSQL & "'klantype', "<----her skal det indsættes
> strSQL = strSQL & "'email', "<----her skal det indsættes
> strSQL = strSQL & "'web', "<----her skal det indsættes
> strSQL = strSQL & "'ircchan', "<----her skal det indsættes
> strSQL = strSQL & "'klantag')"<----her skal det indsættes
>
> ' SQL sætning eksekveres
> Conn.Execute(strSQL)
>
> ' Luk databaseforbindelse
> Conn.Close
> Set Conn = Nothing
> %>
> <h1>Databasen er opdateret!</h1>
> </body>
> </html>
>
> (<----her skal det indsættes)
> er i den del hvor jeg skal have request.form ind og stå.
>
>
> håber på jeres hjælp til et måske nemt spørgsmål, og på forhånd
> tak for hjælpen.
>
>
>
> --
> Danmarks største specialiserede IT jobdatabase
> - Udelukkende med IT- og internetrelaterede jobs
> - Opret en profil og lad drømmejobbet finde dig
> KLIK HER! => http://www.html.dk/job

---

Kim Lund Hansen wrote in dk.edb.internet.webdesign.serverside.asp:
> Hej og undskyld det ubrugelige svar tidligere.
>
> Du kan bruge:
> ' SQL sætning opbygges
> strSQL = "Insert into csklan ("
>
> strSQL = strSQL & "klannavn, "
> strSQL = strSQL & "klantype, "
> strSQL = strSQL & "email, "
> strSQL = strSQL & "web, "
> strSQL = strSQL & "ircchan, "
> strSQL = strSQL & "klantag) "
>
> strSQL = strSQL & "values("
>
> strSQL = strSQL & "'" & Request.Form("klannavn") & "', "
> strSQL = strSQL & "'" & Request.Form("klannavn") & "', "
> strSQL = strSQL & "'" & Request.Form("email") & "', "
> strSQL = strSQL & "'" & Request.Form("web") & "', "
> strSQL = strSQL & "'" & Request.Form("ircchan") & "', "
> strSQL = strSQL & "'" & Request.Form("klantag") & "') "
>
> Venlig hilsen Kim
>
tak for det ser ud til at det er det jeg mangler skriver lige hvis det
ikke virker

--
Danmarks største specialiserede IT jobdatabase
- Udelukkende med IT- og internetrelaterede jobs
- Opret en profil og lad drømmejobbet finde dig
KLIK HER! => http://www.html.dk/job

---

On Sun, 2 Feb 2003 17:19:29 +0100, "Kim Lund Hansen"
<pervo@get2net.dk> wrote:

>Du kan bruge:
>' SQL sætning opbygges
>strSQL = "Insert into csklan ("
>
>strSQL = strSQL & "klannavn, "
> strSQL = strSQL & "klantype, "
> strSQL = strSQL & "email, "
> strSQL = strSQL & "web, "
> strSQL = strSQL & "ircchan, "
> strSQL = strSQL & "klantag) "
>
>strSQL = strSQL & "values("
>
>strSQL = strSQL & "'" & Request.Form("klannavn") & "', "
>strSQL = strSQL & "'" & Request.Form("klannavn") & "', "
>strSQL = strSQL & "'" & Request.Form("email") & "', "
>strSQL = strSQL & "'" & Request.Form("web") & "', "
>strSQL = strSQL & "'" & Request.Form("ircchan") & "', "
>strSQL = strSQL & "'" & Request.Form("klantag") & "') "

Svaret er i princippet godt nok - i den forstand, at det formentlig
vil virke. (Bortset fra den lille fejl med klannavn <-> klantype.) Og
også i den forstand, at det leder spørgeren på det rette spor.

Jeg vil dog benytte lejligheden til at advare mod at putte
formular-resultater direkte ind i en SQL-streng.

Man bør normalt lave en eller anden form for validering af
formular-resulaterne, inden de indsættes i SQL-strengen.

Jeg plejer at hente input ind som noget af det første på siden,
tildele dem et variabelnavn og så lave en basal validering her - noget
i retning af:

strKlannavn = Request.Form("klannavn")
If Len(strKlannavn) > 0 Then
strKlannavn = Replace(strKlannavn, "'", "''")
Else
' Vis evt. en advarsel eller gør noget andet ...
End if

Denne validering checker, om der overhovedet er et input, der kan
behandles. Hvis der er, checker den for, om der er enkelt-plinger ('),
som så dubleres - da de ellers ville smadre SQL-strengen. Man kan evt.
også gøre det med apostrofer (").

Hvordan man vil validere afhænger selvfølgelig af, hvilke krav der
stilles til de enkelte formular-resulater, når de skal indsættes i
databasen. Nogle gange vil man sikre sig, at der er tale om et tal,
andre gange at en streng har en bestemt længde, et tal har en bestemt
størrelse osv. osv.

Se i øvrigt også Jakob Andersens glimrende artikel:
<url: http://activedeveloper.dk/aspdigital/2002053001.asp>

Slutningen af SQL-strengen kommer så til at se ud nogenlunde som:
strSQL = strSQL & "values("
strSQL = strSQL & "'" & strKlannavn & "', "
strSQL = strSQL & "'" & strKlantype & "', "
strSQL = strSQL & "'" & strEmail & "', "
strSQL = strSQL & "'" & strWeb & "', "
strSQL = strSQL & "'" & strIrcchan & "', "
strSQL = strSQL & "'" & strKlantag & "') "

Eller lidt kortere:
strSQL = strSQL & "values(" & _
"'" & strKlannavn & "', " & _
"'" & strKlantype & "', " & _
"'" & strEmail & "', " & _
"'" & strWeb & "', " & _
"'" & strIrcchan & "', " & _
"'" & strKlantag & "') "

PS: Gider du tage et kig på:
<URL: http://www.usenet.dk/netikette/citatteknik.html>

--
Jørn Andersen,
Brønshøj

---

Jørn Andersen wrote in dk.edb.internet.webdesign.serverside.asp:
> On Sun, 2 Feb 2003 17:19:29 +0100, "Kim Lund Hansen"
> <pervo@get2net.dk> wrote:
>
> >Du kan bruge:
> >' SQL sætning opbygges
> >strSQL = "Insert into csklan ("
> >
> >strSQL = strSQL & "klannavn, "
> > strSQL = strSQL & "klantype, "
> > strSQL = strSQL & "email, "
> > strSQL = strSQL & "web, "
> > strSQL = strSQL & "ircchan, "
> > strSQL = strSQL & "klantag) "
> >
> >strSQL = strSQL & "values("
> >
> >strSQL = strSQL & "'" & Request.Form("klannavn") & "', "
> >strSQL = strSQL & "'" & Request.Form("klannavn") & "', "
> >strSQL = strSQL & "'" & Request.Form("email") & "', "
> >strSQL = strSQL & "'" & Request.Form("web") & "', "
> >strSQL = strSQL & "'" & Request.Form("ircchan") & "', "
> >strSQL = strSQL & "'" & Request.Form("klantag") & "') "
>
> Svaret er i princippet godt nok - i den forstand, at det formentlig
> vil virke. (Bortset fra den lille fejl med klannavn <-> klantype.) Og
> også i den forstand, at det leder spørgeren på det rette spor.
>
> Jeg vil dog benytte lejligheden til at advare mod at putte
> formular-resultater direkte ind i en SQL-streng.
>
> Man bør normalt lave en eller anden form for validering af
> formular-resulaterne, inden de indsættes i SQL-strengen.
>
> Jeg plejer at hente input ind som noget af det første på siden,
> tildele dem et variabelnavn og så lave en basal validering her - noget
> i retning af:
>
> strKlannavn = Request.Form("klannavn")
> If Len(strKlannavn) > 0 Then
> strKlannavn = Replace(strKlannavn, "'", "''")
> Else
> ' Vis evt. en advarsel eller gør noget andet ...
> End if
>
> Denne validering checker, om der overhovedet er et input, der kan
> behandles. Hvis der er, checker den for, om der er enkelt-plinger ('),
> som så dubleres - da de ellers ville smadre SQL-strengen. Man kan evt.
> også gøre det med apostrofer (").
>
> Hvordan man vil validere afhænger selvfølgelig af, hvilke krav der
> stilles til de enkelte formular-resulater, når de skal indsættes i
> databasen. Nogle gange vil man sikre sig, at der er tale om et tal,
> andre gange at en streng har en bestemt længde, et tal har en bestemt
> størrelse osv. osv.
>
> Se i øvrigt også Jakob Andersens glimrende artikel:
> <url: http://activedeveloper.dk/aspdigital/2002053001.asp>
>
> Slutningen af SQL-strengen kommer så til at se ud nogenlunde som:
> strSQL = strSQL & "values("
> strSQL = strSQL & "'" & strKlannavn & "', "
> strSQL = strSQL & "'" & strKlantype & "', "
> strSQL = strSQL & "'" & strEmail & "', "
> strSQL = strSQL & "'" & strWeb & "', "
> strSQL = strSQL & "'" & strIrcchan & "', "
> strSQL = strSQL & "'" & strKlantag & "') "
>
> Eller lidt kortere:
> strSQL = strSQL & "values(" & _
> "'" & strKlannavn & "', " & _
> "'" & strKlantype & "', " & _
> "'" & strEmail & "', " & _
> "'" & strWeb & "', " & _
> "'" & strIrcchan & "', " & _
> "'" & strKlantag & "') "
>
> PS: Gider du tage et kig på:
> <URL: http://www.usenet.dk/netikette/citatteknik.html>
>
> --
> Jørn Andersen,
> Brønshøj


Tak for det svar men har ikke tænkt at følge det nu da det kun er til
eget brug og er selv klar over hvad der kan og må skrives i mine
formler... men jeeg vil huske på...

--
Danmarks største specialiserede IT jobdatabase
- Udelukkende med IT- og internetrelaterede jobs
- Opret en profil og lad drømmejobbet finde dig
KLIK HER! => http://www.html.dk/job

---

On Mon, 3 Feb 2003 09:44:02 +0000 (UTC), Christian Conradsen
<chrisjon@vip.cybercity.dk> wrote:

>Jørn Andersen wrote in dk.edb.internet.webdesign.serverside.asp:

<snip knapt 90 linier>

>> PS: Gider du tage et kig på:
>> <URL: http://www.usenet.dk/netikette/citatteknik.html>

Grunden til, at jeg gav den link var fordi at det er behageligere at
læse kortere og passende beskårne indlæg.
Der er fx ingen grund til at citere 95 linier for at skrive et 3
liniers svar ...

<snip 5 linier mere>
>Tak for det svar men har ikke tænkt at følge det nu da det kun er til
>eget brug og er selv klar over hvad der kan og må skrives i mine
>formler... men jeeg vil huske på...

Det er jo helt op til dig selv - sikkerhedsspørgsm,ål afhænger jo
altid af den konkrete situation ...

PS: Gider du tage et kig på:
<URL: http://www.usenet.dk/netikette/citatteknik.html>

--
Jørn Andersen,
Brønshøj

---

> (<----her skal det indsættes)
> er i den del hvor jeg skal have request.form ind og stå.

Det, at indsætte data i en database er i sig selv ikke så svært, men du skal
huske der er nogle fælder:
1. Hvad nu hvis brugeren bruger HTML-koder i det han/hun skriver?
2. Hvad nu hvis brugeren ikke udfylder tekst i enkelte tekster?
3. Tegnet ' kan fremprovokere en fejl ved INSERT INTO
4. Sikkert flere ting jeg ikke kender til.

Et lille eksempel:

<%
strKlanNavn = Request.Form("klannavn") 'Henter indholdet af boksen
'klannavn' og tildeler værdien til variablen strKlanNavn.
If Len(strKlanNavn) = 0 Then 'Hvis brugeren ikke har udfyldt feltet.
Response.Write("<p>Du skal udfylde feltet <i>klannavn</i></p>") 'Skriv
en fejlmeddelelse
Else 'Hvis brugeren har udfyldt feltet.
strKlanNavn = Replace(strKlanNavn, "'", "''") 'Erstatter tegnet ' med
''. Sikring mod fejl.
strKlanNavn = Server.HTMLEncode(strKlanNavn) '"Fjerner" HTML koder i
brugerens input.
End If
%>

Noget i den stil Jeg har ikke lige testet det. Når du så vil sætte din
variabler ind i databasen bliver det noget a la:

<%
strSQL = "INSERT INTO csklan (klannavn, ..., ...) VALUES ('" & strKlanNavn &
"', ..., ...)"
%>



Mvh. Thomas.

voller@voller.dk
http://voller.dk/