---

Hi,

Jeg postede for et par uger siden en forespørgsel ang. ASP i include, og det
blev klart for mig at det kunne man ikke. Derimod blev jeg foreslået at
anvende ASP til at hente en side:

<%Server.Execute(engivenside.html)%>

Mit problem er at jeg ikke vil hente en bestemt side. Siden skulle gerne
"kaldes" fra en anden side, hvor følgende er linket:
<a href="../includes/skal_text.asp?filnavn=<%Response.Write CurrentFile%>">

hvor CurrentFile er defineret som:
<%
CurrentFile = LCase(Right(Request.ServerVariables("SCRIPT_NAME"),
Len(Request.ServerVariables("SCRIPT_NAME")) -
InStrRev(Request.ServerVariables("SCRIPT_NAME"), "/")))
%>

Jeg håbede så, at man kunne indsætte dette udtryk ("filnavn") i min
Server.Execute(), men det volder mig lidt problemer. Jeg har prøvet med:

<%Server.Execute(Request.Querystring("filnavn"))%>

og

<%Server.Execute(Response.Write Request.Querystring("filnavn"))%>

men der er ikke rigtigt noget der virker.

Er der nogen der forslag til hvordan man kan løse dette - hvis det i det
hele taget er muligt...
--
Med venlig hilsen
Lars Klingenberg
[lklingenberg@ifi.ku.dk]

---

Lars Klingenberg wrote:

> <%Server.Execute(Request.Querystring("filnavn"))%>

Den ser rigtig ud (og farlig - kan misbruges, hvis du ikke kører noget check
på filnavnet). Prøv at indsætte:
<%=Request.Querystring("filnavn")%>
inden du kalder Server.Execute. Hvordan ser det ud?

M.v.h.

Jonathan

---

> (og farlig - kan misbruges, hvis du ikke kører noget check på filnavnet).
Hvordan farlig? Hvem kan misbruge den?

> Prøv at indsætte:
> <%=Request.Querystring("filnavn")%>
> inden du kalder Server.Execute. Hvordan ser det ud?
Hvad skal jeg så putte ind i Server.Execute(...) parentesen?
--
Med venlig hilsen
Lars Klingenberg
[lklingenberg@ifi.ku.dk]

---

---

---

---

---

---

---

---

> - Så kan det være objekt-typen, der går galt. Prøv evt.:
> Server.Execute("" & Request.Querystring("filnavn"))
YES! YES! YES! Det virker! Hvad skulle indsættelsen af "" bevirke? Ja, den
indsætter ingenting foran filnavnet, men jeg kan ikke se hvorfor det
virker???

Tusind TAK for hjælpen både til dig og Jakob!

/Lars

---

Lars Klingenberg wrote:

> > - Så kan det være objekt-typen, der går galt. Prøv evt.:
> > Server.Execute("" & Request.Querystring("filnavn"))
> YES! YES! YES! Det virker! Hvad skulle indsættelsen af "" bevirke? Ja, den
> indsætter ingenting foran filnavnet, men jeg kan ikke se hvorfor det
> virker???

"" gør, at den starter med en tom streng - og lægger indholdet af
Request.Querystring til strengen, men stadig er det en streng, der overføres
til funktionen. Request.Querystring alene returnerer en anden objekt-type, og
når den står alene, bliver den ikke konverteret til en streng, som
Server.Execute åbenbart har det bedst med.

M.v.h.

Jonathan

---

---

On Thu, 15 Mar 2001 20:47:21 GMT, Jonathan Stein
<jstein@image.dk> wrote:

>Lars Klingenberg wrote:
>
>> > Feks kan jeg requeste din side med:
>> > http://www.dinside.dk/dinaspside.asp?filnavn=nogetfarligt.fil
>> >
>> > Jeg tror det er begrænset hvad skade det kan forårsagde men alligevel...
>>
>> De sider, der skal requestes er alle sider der skal være tilgængelige, så
>> problemet er ikke så stort.
>
> Det er mere et problem, hvis brugeren requester en fil, der ikke skulle have
>været tilgængelig. Brugeren kan jo skrive hvad som helst efter "?filnavn=...".

F.eks.
http://www.dinside.dk/dinaspside.asp?filnavn=dinaspside.asp ...

--
-Jacob Blichfeldt
jacob@blichfeldt.dk
http://www.blichfeldt.dk