---

Jeg har en side som linker til en anden side med en URL som fx.
send.asp?id=12
Nu vil jeg så trække post nummer 12 ud på en anden side, men kan ikke lige
finde koden for det. Når jeg skriver:
SQL = "select * from tabel where id ='<% = (Request('id'))%>'"
kommer den bare med nogle fajl, og det samme, hvis jeg bytter ' med "
Hvad er løsningen på problemet?

/Snoop

---

"Snoop [ZoP.dk]" wrote:
>
> Jeg har en side som linker til en anden side med en URL som fx.
> send.asp?id=12
> Nu vil jeg så trække post nummer 12 ud på en anden side, men kan ikke lige
> finde koden for det. Når jeg skriver:
> SQL = "select * from tabel where id ='<% = (Request('id'))%>'"
> kommer den bare med nogle fajl, og det samme, hvis jeg bytter ' med "
> Hvad er løsningen på problemet?

Dim id
id = CLng(Request('id'))
SQL = "select * from tabel where id = " & id

--
Lauritz

---

I princippet er det vel egentlig forkert at cast'e den til en Long, og
derefter sætte den sammen med en streng...

"Lauritz Jensen" <lauritz2@hotmail.com> wrote in message
news:3A6C9D0F.579CD688@hotmail.com...
> "Snoop [ZoP.dk]" wrote:
> >
> > Jeg har en side som linker til en anden side med en URL som fx.
> > send.asp?id=12
> > Nu vil jeg så trække post nummer 12 ud på en anden side, men kan ikke
lige
> > finde koden for det. Når jeg skriver:
> > SQL = "select * from tabel where id ='<% = (Request('id'))%>'"
> > kommer den bare med nogle fajl, og det samme, hvis jeg bytter ' med "
> > Hvad er løsningen på problemet?
>
> Dim id
> id = CLng(Request('id'))
> SQL = "select * from tabel where id = " & id
>
> --
> Lauritz

---

Christian Estrup wrote:
>
> "Lauritz Jensen" <lauritz2@hotmail.com> wrote in message
> news:3A6C9D0F.579CD688@hotmail.com...
> >
> > Dim id
> > id = CLng(Request('id'))
> > SQL = "select * from tabel where id = " & id
>
> I princippet er det vel egentlig forkert at cast'e den til en Long, og
> derefter sætte den sammen med en streng...

Den måde du quoter på er langt mere forkert

Nej, det er det ikke forkert at konverterer inputs til et tal, det er en
nem måde at checke at variablen id inde holder et tal og ikke en tekst.
Dette skal gøres, da scriptet ellers er et sikkerhedeshul. Det kunne
også gøres med et RegExp eller en loop/if/asc-konstruktion, men begge
dele vil nok være langsomere.
(Det skulle naturligvis være "-pinger og ikke '-pinger i kode-eksemplet)

--
Lauritz

---

Det kan da godt være, at det ikke er en så smart måde. Men det virker :)

/Snoop

"Lauritz Jensen" <lauritz2@hotmail.com> skrev i en meddelelse
news:3A6CCC0B.32EE6358@hotmail.com...
> Christian Estrup wrote:
> >
> > "Lauritz Jensen" <lauritz2@hotmail.com> wrote in message
> > news:3A6C9D0F.579CD688@hotmail.com...
> > >
> > > Dim id
> > > id = CLng(Request('id'))
> > > SQL = "select * from tabel where id = " & id
> >
> > I princippet er det vel egentlig forkert at cast'e den til en Long, og
> > derefter sætte den sammen med en streng...
>
> Den måde du quoter på er langt mere forkert
>
> Nej, det er det ikke forkert at konverterer inputs til et tal, det er en
> nem måde at checke at variablen id inde holder et tal og ikke en tekst.
> Dette skal gøres, da scriptet ellers er et sikkerhedeshul. Det kunne
> også gøres med et RegExp eller en loop/if/asc-konstruktion, men begge
> dele vil nok være langsomere.
> (Det skulle naturligvis være "-pinger og ikke '-pinger i kode-eksemplet)
>
> --
> Lauritz

---

"Snoop [ZoP.dk]" <snoop@ZoP.dk> skrev:

>Det kan da godt være, at det ikke er en så smart måde. Men det
>virker :)

Ja - det virker stærkt irriterende. Følgende er bare nogle af
grundene:

a) Indlæggene bliver større og tager længere tid at downloade når
der ikke skæres i citaterne.
b) Det er sværere at følge en diskussion hvis man skal læse svarene
før spørgsmålene.
c) Ved flere spørgsmål & svar bliver det besværligt at finde ud af
hvilke der hører sammen.

Gør usenetbrugere en tjeneste: Lær at citere. Det er ikke svært, og
en god vejledning kan findes på www.usenet.dk/netikette/quote.html

FUT: dk.admin.netikette (svar på dette indlæg havner i nævnte
gruppe)

--
Jens Gyldenkærne Clausen
MF (medlem af FIDUSO - www.fiduso.dk)

---

jens_gy@hotmail.com (Jens Gyldenkærne Clausen) skrev:

>FUT: dk.admin.netikette (svar på dette indlæg havner i nævnte
>gruppe)

Jeg glemte at sætte FUT'en - den kommer her

--
Jens Gyldenkærne Clausen
MF (medlem af FIDUSO - www.fiduso.dk)

---

On Tue, 23 Jan 2001 01:10:51 +0100, Lauritz Jensen
<lauritz2@hotmail.com> wrote:

>Dette skal gøres, da scriptet ellers er et sikkerhedeshul.

Hvorfor det?

where id = nogettekst

ville vel bare komme frem med at der ikke er et sted hvor id hedder
nogettekst, eller hvad?

--
Regards Sir Ghashûl, Knight of The alt.Roundtable <><
ICQ: 7223629

We ain't done till this battle has been fought and won
The victory, how sweet it be, is already ours
Holding the stars, is the man that carries my scars
Always the same, I wear his name with no shame
Here in this Battle Cry, we will never die
-P.O.D. - Tribal

---

"Ghashûl" wrote:
>
> On Tue, 23 Jan 2001 01:10:51 +0100, Lauritz Jensen
> <lauritz2@hotmail.com> wrote:
>
> >Dette skal gøres, da scriptet ellers er et sikkerhedeshul.
>
> Hvorfor det?
>
> where id = nogettekst
>
> ville vel bare komme frem med at der ikke er et sted hvor id hedder
> nogettekst, eller hvad?

Hvad nu når nogettekst er "1 or 1=1" (og din tabel er stor)? eller når
du flytter app'en til mssql og nogettekst er "1 DELETE FROM tabelnavn"?
Der er sikkert andre "sjove" ting, man kan gøre, som nok er gode at
fange i opløbet.

--
Lauritz

---

> SQL = "select * from tabel where id ='<% = (Request('id'))%>'"
> kommer den bare med nogle fajl, og det samme, hvis jeg bytter ' med "
> Hvad er løsningen på problemet?

Prøv med:
SQL = "select * from tabel where id ='" & <% Response.write Request("id") %>
& "';"

mvh.
Andreas

---

"Andreas Slot-Henriksen" <andreas.s-h@mail.dk> wrote
> Prøv med:
> SQL = "select * from tabel where id ='" & <% Response.write Request("id")
%>
> & "';"

Øhhh. Nå.
Har du selv prøvet det?

--
Jakob Andersen
FAQ for webdesign gruppen på
<http://www.usenet.dk/oss/dk.edb.internet.webdesign>
"Det er rart at være vigtig, men det er vigtigere at være rar "

---

"Jakob Andersen" <jakob@andersen.as> wrote in message
news:2NBb6.60736$W81.738106@twister.sunsite.dk...
> "Andreas Slot-Henriksen" <andreas.s-h@mail.dk> wrote
> > Prøv med:
> > SQL = "select * from tabel where id ='" & <% Response.write
Request("id")
> %>
> > & "';"
>
> Øhhh. Nå.
> Har du selv prøvet det?
>

hold nu op ... det ser da interessant ud ...

--
/Jesper
http://stocholm.dk
MSN Messenger: jesperstocholm at hotmail.com
My PGP-key has expired. Get the new at http://stocholm.dk/key.txt

---

Tak for alle svarene. Jeg fandt (med lidt redigering) det jeg søgte

/Snoop