---

Hej NG
Jeg indlæser felter fra en database...
Teksten bliver afkortet (får kun første ord med) når jeg indlæser feltet...

eks:
"Dette er en tekst"
bliver til:
"Dette"

Kode start

Response.Write "<td align=center>" & " <input type=" & "text" & " VALUE=" &
RS("MenuTekst") & " name=" & "txtMenuTekst" & Tael & " size=" & "100" & ">"
& "</td>"

Kode slut

Har prøvet at ligge teksten i en variabel. med samme resultat...

Kan i hjælpe....
Og ellers god sommer....
Bjarne

---

"bsn" <bsnsnabelaoncabledotdk> wrote in message
news:44b9272f$0$140$edfadb0f@dread11.news.tele.dk...
> Hej NG
> Jeg indlæser felter fra en database...
> Teksten bliver afkortet (får kun første ord med) når jeg indlæser
feltet...
>
> eks:
> "Dette er en tekst"
> bliver til:
> "Dette"
>
> Kode start
>
> Response.Write "<td align=center>" & " <input type=" & "text" & " VALUE="
&
> RS("MenuTekst") & " name=" & "txtMenuTekst" & Tael & " size=" & "100" &
">"
> & "</td>"
>
> Kode slut
>
> Har prøvet at ligge teksten i en variabel. med samme resultat...
>
> Kan i hjælpe....
> Og ellers god sommer....
> Bjarne
>
>

hvis text,RS("MenuTekst"), txtMenuTekst og Tael er asp-variabler :

Response.Write "<td align='center'><input type='" & text & "' VALUE='" &
RS("MenuTekst") & "' name='" & txtMenuTekst & Tael & "' size='100'></td>"


Du mangler dem her -> '

F.eks. ren html :

<input type="Hello World">

bliver i asp

Dim myVar
myVar = "Hello World"

Response.Write "<input type= ' " & myVar & " ' >

Bemærk dem der -> ' ' <- i asp-koden

Med venlig hilsen
'Michael Weber'

---

"Michael Weber" <michael@FJERNmichaelweber.dk> skrev
>
> Bemærk dem der -> ' ' <- i asp-koden
>
Ja tak...
De havde forladt min hjerne et øjeblik...

Måske du kan give et kort svar på et tillægsspg...

Kort - hvad går SQL injection ud på...
Mener at have fået det ud af det, at det er " ' ", som skal udskiftes med "
" " i SQL sætningen...

Bjarne

---

--
Med venlig hilsen
Michael Weber
"bsn" <bsnsnabelaoncabledotdk> wrote in message
news:44b9ebfd$0$183$edfadb0f@dread11.news.tele.dk...
>
> "Michael Weber" <michael@FJERNmichaelweber.dk> skrev
> >
> > Bemærk dem der -> ' ' <- i asp-koden
> >
> Ja tak...
> De havde forladt min hjerne et øjeblik...
>
> Måske du kan give et kort svar på et tillægsspg...
>
> Kort - hvad går SQL injection ud på...
> Mener at have fået det ud af det, at det er " ' ", som skal udskiftes med
"
> " " i SQL sætningen...
>
> Bjarne
>
>
>

Når man samler sin sql-sætning som f.eks. :
Man sender f.eks. minside.asp?MyID=1 til en en side som udføre følgende :

"Select * from MyTable where someID = " & Request,QueryString("MyID")

er der en risiko for at Request,QueryString("MyID") indeholder andet sql.
F.eks. kunne Request,QueryString("MyID") indeholder :

"1 ' Drop Table MyTable"

i form af :
minside.asp?MyID=1'%20Drop%20Table%20MyTable

Vupti... Tabellen MyTable slettes.

I bund og grund handler det om at en bruger sender extra sql med via data,
der skal indtastes via en hjemmeside.

Læs mere her :
http://www.securiteam.com/securityreviews/5DP0N1P76E.html

Med venlig hilsen
Michael Weber

---

"Michael Weber" <michael@FJERNmichaelweber.dk> skrev
> Når man samler sin sql-sætning som f.eks. :
> Man sender f.eks. minside.asp?MyID=1 til en en side som udføre følgende :
>
> "Select * from MyTable where someID = " & Request,QueryString("MyID")
>
> er der en risiko for at Request,QueryString("MyID") indeholder andet sql.
> F.eks. kunne Request,QueryString("MyID") indeholder :
>
> "1 ' Drop Table MyTable"
>
> i form af :
> minside.asp?MyID=1'%20Drop%20Table%20MyTable
>
> Vupti... Tabellen MyTable slettes.
>
> I bund og grund handler det om at en bruger sender extra sql med via data,
> der skal indtastes via en hjemmeside.
>
> Læs mere her :
> http://www.securiteam.com/securityreviews/5DP0N1P76E.html

Tak for det...
Bjarne