---

Kan man på en eller anden måde skjule kildekoden, så en bruger
ikke kan højreklikke og efterfølgende få vis kildekoden på siden.

Jeg har nogle formfelter med nogle værdier som jeg henter fra en
database som jeg ikke ønsker at folk skal kunne navnet på (altså
hvad feltet hedder). Det vil kunne forhindre at folk med
asp-kundskaber ikke kan indtaste en querystring med nogle
manipulerede data og sende til min database.

Er i med på, hor jeg vil hen?

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Jacob .. skrev:

> Kan man på en eller anden måde skjule kildekoden, så en bruger
> ikke kan højreklikke og efterfølgende få vis kildekoden på siden.

Din asp-kode er skjult for alle andre end dig selv.

Den html-kode som genereres af asp-koden kan derimod ikke skjules
(kig evt. lidt tilbage i html-gruppen - emnet har været oppe mange
gange).


> Jeg har nogle formfelter med nogle værdier som jeg henter fra en
> database som jeg ikke ønsker at folk skal kunne navnet på (altså
> hvad feltet hedder).

Det kan de heller ikke.

Prøv at bruge "vis kilde" i din browser på en asp-side. De ting du
kan se der, kan alle andre også se. De ting (asp-koderne) du ikke
kan se der, er der heller ingen andre der kan se.


> Det vil kunne forhindre at folk med
> asp-kundskaber ikke kan indtaste en querystring med nogle
> manipulerede data og sende til min database.

Hvis du sender input til en database via en querystring, er det en
god ide - faktisk en *rigtig* god ide - at validere input før du
sender det videre. Det kan sikre dig mod en del fejl.

Se lidt om emnet her: <http://asp-faq.dk/article/?id=95>.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

Jens Gyldenkærne Clausen wrote:
> Se lidt om emnet her: <http://asp-faq.dk/article/?id=95>.

Bør man ikke nævne regulære udtryk i artiklen? Det er (vel) en gængs -
og i min verden den bedste - måde at validere input på fordi man
tillader input i stedet for forbyde?

Mvh
Sigurd

---

Sigurd Hilbert Madsen skrev:

> Bør man ikke nævne regulære udtryk i artiklen?

Det kunne man bestemt godt.

> Det er (vel) en gængs - og i min verden den bedste - måde at
> validere input på fordi man tillader input i stedet for forbyde?

Regulære udtryk er særdeles stærke, men også lidt komplicerede at
gå til. Jeg er ikke enig i at det er en gængs måde at validere
input på, men den er god hvis man har styr på de regulære udtryk.

Du er meget velkommen til at lave en artikel om brug af regex -
enten specifikt i forbindelse med validering eller også mere
generelt.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

Jacob .. wrote :

> Kan man på en eller anden måde skjule kildekoden, så en bruger
> ikke kan højreklikke og efterfølgende få vis kildekoden på siden.
>
> Jeg har nogle formfelter med nogle værdier som jeg henter fra en
> database som jeg ikke ønsker at folk skal kunne navnet på (altså
> hvad feltet hedder).

Hvordan kan de se det - altså ud fra navnet på feltet?

--
Jesper Stocholm
http://stocholm.dk
Linux advocacy how-to:
http://www.datasync.com/~rogerspl/Advocacy-HOWTO-5.html

---

> Hvordan kan de se det - altså ud fra navnet på feltet?

Det er i forbindelse med en tidstagning. (her simpeltgjort)

Jeg har et felt der kører en js-timer - navn "Tid"

Jeg har et felt der skal skrives Ja/nej - navn "Svar"

Den gæve asp-programør vil kunne vise kilde og se:

<form action="Send.asp" method="get" ....

og efterfølgende kunne manuelt indtaste en Querystring med
oplysninger:

../Send.asp?Tid=0,00&Svar=Ja

Altså manipulerer sig til en bedre tid eksempelvis.

Er i med?

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Jacob .. skrev:

> <form action="Send.asp" method="get" ....
>
> og efterfølgende kunne manuelt indtaste en Querystring med
> oplysninger:
>
> ./Send.asp?Tid=0,00&Svar=Ja

Brug post i stedet for. Det sikrer ikke mod at en bruger selv kan
lave en form med de rette parametre, men den mulighed kan du
blokere for ved at tjekke den fil der submitter.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

> Brug post i stedet for. Det sikrer ikke mod at en bruger selv kan
> lave en form med de rette parametre, men den mulighed kan du
> blokere for ved at tjekke den fil der submitter.

Ja det var egentlig en rigtig god ide. Kunne ikke se skoven for sure
tæer.

Men - i teorien - kan man jo egntlig lave sin egen form med
method="post" action="http;//www.min-side.dk/Send.asp" og sende fra
sin egen server, og *alligevel* manipulere.

Nogle forslag til, hvordan jeg hundrede procent ved, at formularen
er sendt fra den server min side ligger på? Et eller andet unikt man
kan requeste (evt. en eller anbde servervariabel som kun kan fås ved
at sende fra den rigtige server).

Kan du følge problematikken?


--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Jacob .. wrote:
> Men - i teorien - kan man jo egntlig lave sin egen form med
> method="post" action="http;//www.min-side.dk/Send.asp" og sende fra
> sin egen server, og *alligevel* manipulere.
>
> Nogle forslag til, hvordan jeg hundrede procent ved, at formularen
> er sendt fra den server min side ligger på? Et eller andet unikt man
> kan requeste (evt. en eller anbde servervariabel som kun kan fås ved
> at sende fra den rigtige server).
>
> Kan du følge problematikken?
>
>


Du kan jo kontrollere på Request.ServerVariables("HTTP_REFERER") om
formen bliver submittet fra dit eget domain.


Hintzmann c",)

---

> Du kan jo kontrollere på Request.ServerVariables("HTTP_REFERER") om
> formen bliver submittet fra dit eget domain.

God ide! Rigtig god ide!

Er der andre ting som jeg burde være opmærksom på, mht til at
manipulerer med formularer og indsættelse i Access?

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Jacob .. <laessoe@yahoo.com> wrote in news:409a2029$0$3049$14726298
@news.sunsite.dk:

>> Du kan jo kontrollere på Request.ServerVariables("HTTP_REFERER") om
>> formen bliver submittet fra dit eget domain.
>
> God ide! Rigtig god ide!

Husk dog på, at REFERER ikke altid medsendes af browserne, at den i nogle
browsere er sat til en fast værdi samt at heller ikke denne variabel er
svær at forfalske - hvis man vil.

--
Jesper Stocholm http://stocholm.dk

Programmer's code comment:
//It probably makes more sense when you're stoned.

---

> Husk dog på, at REFERER ikke altid medsendes af browserne, at den i nogle
> browsere er sat til en fast værdi samt at heller ikke denne variabel er
> svær at forfalske - hvis man vil.

Du siger noget.

Hvordan *pokker* gør jeg, så jeg sikrer mig at formularen er sendt uden
snyd?


--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Jacob .. <laessoe@yahoo.com> wrote in
news:409a2b5b$0$3057$14726298@news.sunsite.dk:

>> Husk dog på, at REFERER ikke altid medsendes af browserne, at den i
>> nogle browsere er sat til en fast værdi samt at heller ikke denne
>> variabel er svær at forfalske - hvis man vil.
>
> Du siger noget.
>
> Hvordan *pokker* gør jeg, så jeg sikrer mig at formularen er sendt
> uden snyd?

Det er et godt spørgsmål - jeg tror ikke at du kan sikre dig 100% imod det
.... det skulle da lige være at lave din side som en applet. Hvis det eneste
du skal er at vise nogle felter til afkrydsning, så burde det ikke være et
stort problem.

--
Jesper Stocholm http://stocholm.dk

Programmer's code comment:
//It probably makes more sense when you're stoned.

---

> Det er et godt spørgsmål - jeg tror ikke at du kan sikre dig 100% imod det
> .... det skulle da lige være at lave din side som en applet. Hvis det eneste
> du skal er at vise nogle felter til afkrydsning, så burde det ikke være et
> stort problem.

Jeg har nogle afkrydsninger og et text-felt med en timer + en masse hidden
textfelter der henter alt muligt ind fra diverse databaser., så det bliver nok
svært.

--
Vil du lære at kode HTML, XHTML, CSS, SSI eller ASP?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

On 04 May 2004 13:04:43 GMT, Jacob .. <laessoe@yahoo.com> wrote:

>Kan man på en eller anden måde skjule kildekoden, så en bruger
>ikke kan højreklikke og efterfølgende få vis kildekoden på siden.

Check lige :

http://www.microsoft.com/mind/0899/scriptengine/scriptengine.asp

Men det er jo ikke en fuldstændig forsikring.

Der findes mindst et værktøj der kan dekode scriptet.

Med venlig hilsen
Jimmy hansen