---

Hejsa

På min hjemmeside får jeg nu følgende fejl:

Server.MapPath() error 'ASP 0175 : 80004005'
Disallowed Path Characters

/udvalg.asp, line 9

The '..' characters are not allowed in the Path parameter for the MapPath
method.

Linie 9 i udvalg.asp er:
strDSN = "DRIVER={Microsoft Access Driver (*.mdb)};
DBQ="&Server.MapPath("../db/data.mdb")

Filen har fungeret med ovenstående linie længe, men for en et stykke tid
siden (ved ikke præcis hvornår, da jeg ikke har tjekket siden længe) er
fejlen kommet.

Siden ligger på en server hos Tiscali, hvis det betyder noget.
Jeg har selvf. tjekket at data.mdb er der, og ligger der hvor den skal

Nogen gode idéer?

mvh
Søren B.

---

> Filen har fungeret med ovenstående linie længe, men for en et stykke tid
> siden (ved ikke præcis hvornår, da jeg ikke har tjekket siden længe) er
> fejlen kommet.
>
> Siden ligger på en server hos Tiscali, hvis det betyder noget.
> Jeg har selvf. tjekket at data.mdb er der, og ligger der hvor den skal

Hvis den har fungeret længe, så skyldes det nok at Tiscali har opgraderet
til en Win2k3 server, denne har pga. sikkerhedsgrunde ikke understøttelse af
brugen af ../ i diverse funktioner.

Mvh Mark
--
www.improve.dk

---

Hmm....jeg synes i skulle skrive til Tiscali og fortælle dem følgende.

server.mappath & ".." er tilladt i både win2k og win2003. Eneste forskel er,
at det som standard er slået fra i 2003 ligesom de fleste andre funktioner
er det i 2003. De kan rette det på jeres webhoteller ved at gå ind i
administrationen til IIS og sætte krydset "Enable parent paths" - så simpelt
er det!

/mikkel

http://spacerent.dk - Webhosting fra 49,-/md.


"Mark S. Rasmussen" <mark@tv.dk> wrote in message
news:bilube$oc2$1@news.cybercity.dk...
> > Filen har fungeret med ovenstående linie længe, men for en et stykke tid
> > siden (ved ikke præcis hvornår, da jeg ikke har tjekket siden længe) er
> > fejlen kommet.
> >
> > Siden ligger på en server hos Tiscali, hvis det betyder noget.
> > Jeg har selvf. tjekket at data.mdb er der, og ligger der hvor den skal

>
> Hvis den har fungeret længe, så skyldes det nok at Tiscali har opgraderet
> til en Win2k3 server, denne har pga. sikkerhedsgrunde ikke understøttelse
af
> brugen af ../ i diverse funktioner.
>
> Mvh Mark
> --
> www.improve.dk
>
>

---

Mikkel Egelund <me@spacerent_SPAMIT.dk> skrev i en
nyhedsmeddelelse:3f4f4646$0$54767$edfadb0f@dread11.news.tele.dk...
> Hmm....jeg synes i skulle skrive til Tiscali og fortælle dem følgende.
>
> server.mappath & ".." er tilladt i både win2k og win2003. Eneste forskel
er,
> at det som standard er slået fra i 2003 ligesom de fleste andre funktioner
> er det i 2003. De kan rette det på jeres webhoteller ved at gå ind i
> administrationen til IIS og sætte krydset "Enable parent paths" - så
simpelt
> er det!
>
> /mikkel
>

Tak til Mikkel og Mark.

Jeg vil prøve at presse dem, men jeg skal vist ikke forvente det store.

--
Søren B.

---

Mikkel Egelund wrote :

> server.mappath & ".." er tilladt i både win2k og win2003. Eneste
> forskel er, at det som standard er slået fra i 2003 ligesom de fleste
> andre funktioner er det i 2003. De kan rette det på jeres webhoteller
> ved at gå ind i administrationen til IIS og sætte krydset "Enable
> parent paths" - så simpelt er det!

Hvis man afvikler "IIS Lockdown tool", så fjerner den også et flueben ved
denne feature. At tillade "parent paths" er i princippet et sikkerhedshul
af dimensioner, og der kan være masser af (gode) grunde til ikke at
tillade dette.

Tænk blot hvad man kan komme afsted med hvis man falder over et site, der
tillader download af filer via querystring - fx

download.asp?file=somefile.asp

I øvrigt kan jeg ikke umiddelbart se nogen grund til at tillade parent
paths - jeg er endnu ikke kommet forbi tilfælde, hvor det har været et
problem. Det drejer sig jo blot om at tilgå filerne på en lidt anden
måde.

--
Jesper Stocholm - http://stocholm.dk
Fra Kidchen på kids.tv2.dk:
[Miss Mukuba] Og vi skal nu til konkurrencen. Spørgsmålet er
"Hvilken af grisens indvolde indeholder leverpostej?"

---

Jesper Stocholm wrote:
> I øvrigt kan jeg ikke umiddelbart se nogen grund til at tillade parent
> paths - jeg er endnu ikke kommet forbi tilfælde, hvor det har været et
> problem. Det drejer sig jo blot om at tilgå filerne på en lidt anden
> måde.

Er det ikke netop hvad man bruger når man har en mappe udenfor webscope:
Server.MapPath("/../sikkermappe/database.mdb")
eller er jeg ikke helt med?

/Torben

---

Torben Brandt wrote :

> Jesper Stocholm wrote:
>> I øvrigt kan jeg ikke umiddelbart se nogen grund til at tillade
>> parent paths - jeg er endnu ikke kommet forbi tilfælde, hvor det har
>> været et problem. Det drejer sig jo blot om at tilgå filerne på en
>> lidt anden måde.
>
> Er det ikke netop hvad man bruger når man har en mappe udenfor
> webscope:
> Server.MapPath("/../sikkermappe/database.mdb")
> eller er jeg ikke helt med?

Hvis man ikke har mulighed for at bruge parent paths, så kan man vælge
at angive den specifikke sti - som fx

d:\inetpub\wwwroot\somedomain\data\file.mdb

Alternativt kan du ændre det til

Server.MapPath("\data\file.mdb")

Idéen er at man starter "ved roden" og arbejder sig ned i
bib-strukturen. Det er ganske som når man i HTML angiver stien til et
billede som

/pics/me.png

- dvs man starter ved roden af domænet (www.dom.com) og arbejder sig
frem. Dermed kan man med samme kodelinie tilgå den samme fil - uanset
hvor den enkelte ASP/HTML-fil befinder sig.

.... lidt afhængigt af hvordan IIS har opsat applications etc.

--
Jesper Stocholm - http://stocholm.dk
The Web submission form is the preferred procedure. However, if you
don't have access to the Internet you may send your submission by
e-mail. (Nyhedsbrev fra 9th Conference on Reliable Software
Technologies)

---

Hej
Jeg har samme problem, og ved kontakt til Tiscali har jeg fået at vide at de
har server problemer. Det har nu stået på i 4 dage til stor ulempe for en af
mine storkunder, og man får ikke ordentlig besked om hvad der er galt, og
hvornår de forventer det er løst.
MVH Claus G


"Søren Badstue" <soren.badstue@post.cybercity.dk> skrev i en meddelelse
news:bilpgt$h2h$1@news.cybercity.dk...
> Hejsa
>
> På min hjemmeside får jeg nu følgende fejl:
>
> Server.MapPath() error 'ASP 0175 : 80004005'
> Disallowed Path Characters
>
> /udvalg.asp, line 9
>
> The '..' characters are not allowed in the Path parameter for the MapPath
> method.
>
> Linie 9 i udvalg.asp er:
> strDSN = "DRIVER={Microsoft Access Driver (*.mdb)};
> DBQ="&Server.MapPath("../db/data.mdb")
>
> Filen har fungeret med ovenstående linie længe, men for en et stykke tid
> siden (ved ikke præcis hvornår, da jeg ikke har tjekket siden længe) er
> fejlen kommet.
>
> Siden ligger på en server hos Tiscali, hvis det betyder noget.
> Jeg har selvf. tjekket at data.mdb er der, og ligger der hvor den skal
>
> Nogen gode idéer?
>
> mvh
> Søren B.
>
>

---

Hej Søren
Så lykkedes det sørme at få en "løsning" fra Tiscali. ".." er en mappath, og
".." er ikke længere brugbart på Tiscalis server, der skal skrives fuld
mappath.
Mvh Claus G


"Søren Badstue" <soren.badstue@post.cybercity.dk> skrev i en meddelelse
news:bilpgt$h2h$1@news.cybercity.dk...
> Hejsa
>
> På min hjemmeside får jeg nu følgende fejl:
>
> Server.MapPath() error 'ASP 0175 : 80004005'
> Disallowed Path Characters
>
> /udvalg.asp, line 9
>
> The '..' characters are not allowed in the Path parameter for the MapPath
> method.
>
> Linie 9 i udvalg.asp er:
> strDSN = "DRIVER={Microsoft Access Driver (*.mdb)};
> DBQ="&Server.MapPath("../db/data.mdb")
>
> Filen har fungeret med ovenstående linie længe, men for en et stykke tid
> siden (ved ikke præcis hvornår, da jeg ikke har tjekket siden længe) er
> fejlen kommet.
>
> Siden ligger på en server hos Tiscali, hvis det betyder noget.
> Jeg har selvf. tjekket at data.mdb er der, og ligger der hvor den skal
>
> Nogen gode idéer?
>
> mvh
> Søren B.
>
>

---

Claus G. <gabriel@xxxdesign-text.dk> skrev i en
nyhedsmeddelelse:binfob$29mp$1@news.cybercity.dk...
> Hej Søren
> Så lykkedes det sørme at få en "løsning" fra Tiscali. ".." er en mappath,
og
> ".." er ikke længere brugbart på Tiscalis server, der skal skrives fuld
> mappath.
> Mvh Claus G
>

Hej Claus

Efter hvad jeg kan forstå udfra Mikkels svar, er det muligt. Det kunne tyde
på at Tiscali (igen, igen) er hamrende ligeglade med deres kunder. Det kan
da ikke passe at vi skal til at ændre i måske 40 sider, hvis det er rigtigt
at det kan klares med et enkelt flueben.
Det er en typisk holdning hos Tiscali. "Det kan godt være at kunderne skal
bruge flere timer på at tilpasse tingene, men tja... Og vi gidder ikke give
besked i forvejen, for de finder nok ud af det alligevel".

Nåh, det blev /lidt/ OT. Sorry.

Tak for infoen, Claus. Jeg tror jeg vil prøve at presse dem lidt.

--
Søren B.

---

Søren Badstue wrote :

> Efter hvad jeg kan forstå udfra Mikkels svar, er det muligt. Det kunne
> tyde på at Tiscali (igen, igen) er hamrende ligeglade med deres
> kunder. Det kan da ikke passe at vi skal til at ændre i måske 40
> sider, hvis det er rigtigt at det kan klares med et enkelt flueben.
> Det er en typisk holdning hos Tiscali. "Det kan godt være at kunderne
> skal bruge flere timer på at tilpasse tingene, men tja... Og vi gidder
> ikke give besked i forvejen, for de finder nok ud af det alligevel".

Var det ikke en idé at få lidt proportion ind i diskussionen inden den
bliver for hed?

Jeg er ansvarlig for et website, hvor vi valgte - efter kørsel af IIS
Lockdown tool - at fjerne muligheden for at bruge "parent paths". Der var
anslået 1000 sider, der blev berørt at det.

Det var dog ikke værre end at bruge et tekst-replace værktøj, og det tog
maksimalt 2 minutter for det at ændre tingene i de relevante sider.

"Parent paths" åbner et sikkerhedsproblem, som man som "almindelig" asp-
koder måske ikke er opmærksom på, og set i det lys fremstår beslutningen
mere åbenlys - set fra Tiscalis side.

....og så kan man måske være lidt fræk at sige, at hvis "parent path"-
disabling medfører at et meget stort antal sider skal ændres, så er der
måske noget i designet af applikationen, der skulle have været lavet
anderledes. _Jeg_ lærte det fx på den hårde måde.



--
Jesper Stocholm - http://stocholm.dk
Glad Spampal-bruger med 94,99% nøjagtighed for juli 2003
http://www.spampal.org - kig efter bayesian filtre.

---

Jesper Stocholm <jespers@stocholm.invalid> skrev i en
nyhedsmeddelelse:Xns93E6C57EF20C2stocholmdk@130.226.1.34...
>

> Jeg er ansvarlig for et website, hvor vi valgte - efter kørsel af IIS
> Lockdown tool - at fjerne muligheden for at bruge "parent paths". Der var
> anslået 1000 sider, der blev berørt at det.
>
> Det var dog ikke værre end at bruge et tekst-replace værktøj, og det tog
> maksimalt 2 minutter for det at ændre tingene i de relevante sider.
>
> "Parent paths" åbner et sikkerhedsproblem, som man som "almindelig" asp-
> koder måske ikke er opmærksom på, og set i det lys fremstår beslutningen
> mere åbenlys - set fra Tiscalis side.
>
> ...og så kan man måske være lidt fræk at sige, at hvis "parent path"-
> disabling medfører at et meget stort antal sider skal ændres, så er der
> måske noget i designet af applikationen, der skulle have været lavet
> anderledes. _Jeg_ lærte det fx på den hårde måde.
>
>
>

Tjo, du har måske ret. Det irriterer mig bare lidt at jeg ikke har hørt
noget om det på forhånd. Websitet tilhører en idrætsforening, og når
pludselig siden går ned, har man jo folk på nakken og i telefonen på samme
tid, fordi de ikke kan finde telefonnummeret på træneren, eller se hvornår
der er klubmesterskab.

Mht. tiden har du nok ret i at det ikke kommer til at tage 4 somre, men da
det ikke er mig der har lavet designet, har jeg ikke 100% styr på det, og må
derfor lede alle filerne igennem efter fejlen. (Ja, ja. Self. bruger jeg
"søg - erstat", men alligevel

Men ok, jeg må nok også lære det på den hårde måde

Servere er ikke min stærkeste side, så jeg tillader mig lige at komme med et
bonusspørgsmål:
Hvordan angiver jeg så den direkte sti, når den fil jeg søger ligger i et
bibliotek et niveau tidligere end "wwwroot"?
Jeg har set dit svar til Torben, hvor du svarer på samme spørgsmål (tror
jeg), men jeg er ikke helt med. I mit FTP-program kan jeg se bib.strukturen
således:

Startende med "/" med et bib. ved navn domxxxxx (mit brugernavn)
i bib. "domxxxxx" er der et bib. der hedder "wwwroot" og et der hedder "db"
Hvordan kan jeg henvise til en fil i "db" fra en fil i "wwwroot"?

med tak for hjælpen...
--
Søren B.

---

On Fri, 29 Aug 2003 22:22:54 +0200, "Søren Badstue"
<soren.badstue@post.cybercity.dk> wrote:

>Hvordan angiver jeg så den direkte sti, når den fil jeg søger ligger i et
>bibliotek et niveau tidligere end "wwwroot"?
>Jeg har set dit svar til Torben, hvor du svarer på samme spørgsmål (tror
>jeg), men jeg er ikke helt med. I mit FTP-program kan jeg se bib.strukturen
>således:
>
>Startende med "/" med et bib. ved navn domxxxxx (mit brugernavn)
>i bib. "domxxxxx" er der et bib. der hedder "wwwroot" og et der hedder "db"
>Hvordan kan jeg henvise til en fil i "db" fra en fil i "wwwroot"?

Brug Server.Mappath på en sti i wwwroot. Det vil give dig drevnavn og
sti. Udskift herefter "wwwroot" med "db".

Og hvis du mistænker dir webhotel for at skifte drev, så gør evt.
ovenstående med Replace:
strPath = Server.MapPath("myDatabase.mdb")
strPath = Replace(strPath, "wwwroot", "db")


Good luck!

--
Jørn Andersen,
Brønshøj

---

Har haft fuldstændig samme problem som beskrevet. og ville lige checke
hvad kandu og experten havde på sagen. Jeg bar kort sagt ved at gøre
klar til at ændre alle mine ".." -stier.
Da jeg gik ind på tiscali --- så virkede det hele sku igen - de har vel
osse læst om fluebenet
lol
check iøvrigt www.lortetiscali.dk
Zara..

--
Leveret af:
http://www.kandu.dk/
"Vejen til en hurtig løsning"