---

Denne sætning giver fejlen:
[Microsoft][ODBC Microsoft Access Driver] Syntax error in INSERT INTO
statement.

Sætningen er lan, jeg jeg kan simpelthen ikke se hvad der er i vejen med
den.
Har stirret mig blind længe nok, så nu henvender jeg mig her.

strSQL = "Insert into Brugere (Navn, Adresse, Postnummer, By, Email,
Telefonnummer, Fax, Post) values('" & Request.Form("txtNavn") & "','" &
Request.Form("txtAdresse") & "','" & Request.Form("txtPostnummer") &
"','" & Request.Form("txtBy") & "','" & Request.Form("txtEmail") & "','"
& Request.Form("txtTelefonnummer") & "','" & Request.Form("txtFax") &
"','" & Request.Form("txtPost") & "')"

----
Mr.D

---

Denne sætning duer åbenbart heller ikke:

   strSQL = "Insert Into Brugere ("
   strSQL = strSQL & "Navn, "
   strSQL = strSQL & "Adresse, "
   strSQL = strSQL & "Postnummer, "
   strSQL = strSQL & "By) "
   strSQL = strSQL & "values( "
   strSQL = strSQL & "'" & Navn & "', "
   strSQL = strSQL & "'" & Adresse & "', "
   strSQL = strSQL & "'" & Postnummer & "', "
   strSQL = strSQL & "'" & By & "')"

> Mr.D wrote:
> Denne sætning giver fejlen:
> [Microsoft][ODBC Microsoft Access Driver] Syntax error in INSERT INTO
> statement.
>
> Sætningen er lan, jeg jeg kan simpelthen ikke se hvad der er i vejen med
> den.
> Har stirret mig blind længe nok, så nu henvender jeg mig her.
>
> strSQL = "Insert into Brugere ...

---

Mr.D wrote:

> strSQL = strSQL & "By) "

Jeg vil gætte på det er fordi By er et reserveret ord.
I Access kan du prøve
strSQL = strSQL & "[By]) "

--
Med venlig hilsen
Stig Johansen

---

Shi* jeg har da godt nok været blind :)
Men tak for svaret, det funger nu.

Stig Johansen wrote:
> Jeg vil gætte på det er fordi By er et reserveret ord.
> I Access kan du prøve
> strSQL = strSQL & "[By]) "

---

Mr.D wrote:

> Shi* jeg har da godt nok været blind :)

Det skrev du jo selv
> Har stirret mig blind længe nok, så nu henvender jeg mig her.

Men bortset fra det, så vær opmærksom på, at din konstruktion er sårbar
overfor SQL-injection.

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen wrote:
> Men bortset fra det, så vær opmærksom på, at din konstruktion er sårbar
> overfor SQL-injection.

Ikke godt! Hvordan?

----
Mr.D

---

---

---

---

On 10 Jul., 02:42, "Mr.D" <t...@dondata.dk> wrote:
> Stig Johansen wrote:
> > Men bortset fra det, så vær opmærksom på, at din konstruktion er sårbar
> > overfor SQL-injection.
>
> Ikke godt! Hvordan?

Jeg tror, det Stig mener er, du bruger variable direkte. Jeg kan i
hver fald se, der er ikke validering på variable inden udskrivning,
men der er som jeg serdet også mere end det.

Eftersom jeg kun er i research i det emne, prøv at læse tråden
"parameterized queries og stored procedures" tidligere i gruppen
http://groups.google.com/group/dk.edb.internet.webdesign.serverside.asp/browse_thread/thread/96d1e7d4f72d573e

Jeg får selv 4-5 forsøg om dagen på injections/scanning for
sårbarheder i koden af enhver art, og ingen grund til at tro, andre
ikke også gør, så ligeså godt først som sidst sætte sig ind i det,
hvordan man beskytter sig;)


MVH
Rune Jensen

---

Rune Jensen wrote:
> Eftersom jeg kun er i research i det emne, prøv at læse tråden
> "parameterized queries og stored procedures" tidligere i gruppen
> http://groups.google.com/group/dk.edb.internet.webdesign.serverside.asp/browse_thread/thread/96d1e7d4f72d573e
>
> Jeg får selv 4-5 forsøg om dagen på injections/scanning for
> sårbarheder i koden af enhver art, og... ingen grund til at tro, andre

Det skal jeg bestemt læse mere om.
Flere af mine forme er blevet forpestet med spam.

> ....så ligeså godt først som sidst sætte sig ind i det,
> hvordan man beskytter sig;)

Ahem - Tak for det ;)

---

---

On 10 Jul., 19:14, "Mr.D" <t...@dondata.dk> wrote:

> > ....så ligeså godt først som sidst sætte sig ind i det,
> > hvordan man beskytter sig;)
>
> Ahem - Tak for det ;)

...jeg mindes en ret morsom historie i de meget tidlige dage med
internet. Historien var baseret på nogle af de svære tekniske udtryk,
som EDB-verdenen førte med sig, f.eks. Operativsystem, kompatibel, OS/
2, Windows, bugs, antivirus, input/output, buffer overflow (ved f.eks.
brænding), pakker (internet/netværk).. Historien handlede om en mand,
som mødte en pige og havde et one-night stand, og ikke kunne komme i
kontakt med hende efter de skiltes, selv om han forsøgte. Men de
tekniske ord blev brugt så de lød naturligt i sammenhængen - jeg har
desværre ikke historien mere, men man bør næsten også kunne gætte sig
til en god del af handlingen udfra nævnte ord.
;)

MVH
Rune Jensen

---

On 10 Jul., 22:01, Rune Jensen <runeofdenm...@gmail.com> wrote:

> ...jeg mindes en ret morsom historie i de meget tidlige dage med
> internet.

Den er her, desværre mangler det sidste stykke, men hva.
http://www.jantimm.dk/lidt_af_hvert.html

MVH
Rune Jensen

---

Rune Jensen wrote:
>> ...jeg mindes en ret morsom historie i de meget tidlige dage med
>> internet.
>
> Den er her, desværre mangler det sidste stykke, men hva.
> http://www.jantimm.dk/lidt_af_hvert.html

»Efter endnu 2 timer måtte jeg sende en time-out pga. overflow i hendes
gate.«
Haha - Fed tekst! Helt sikkert dagens 12'er :)

---

Mr.D skrev:
> Denne sætning giver fejlen:
> [Microsoft][ODBC Microsoft Access Driver] Syntax error in INSERT INTO
> statement.
>
> Sætningen er lan, jeg jeg kan simpelthen ikke se hvad der er i vejen med
> den.
> Har stirret mig blind længe nok, så nu henvender jeg mig her.
>
> strSQL = "Insert into Brugere (Navn, Adresse, Postnummer, By, Email,
> Telefonnummer, Fax, Post) values('" & Request.Form("txtNavn") & "','" &
> Request.Form("txtAdresse") & "','" & Request.Form("txtPostnummer") &
> "','" & Request.Form("txtBy") & "','" & Request.Form("txtEmail") & "','"
> & Request.Form("txtTelefonnummer") & "','" & Request.Form("txtFax") &
> "','" & Request.Form("txtPost") & "')"
>
Nu har du fået løst det, men ellers er det en ide at lave et

Response.Write strSQL

for at se, om sql-sætningen faktisk bliver bygget til det, du tror.

Leif

---

Leif Neland wrote:
> Nu har du fået løst det, men ellers er det en ide at lave et
>
> Response.Write strSQL
> for at se, om sql-sætningen faktisk bliver bygget til det, du tror.

Havde jeg også gjort, men det var uden at det hjalp på mine øjne :)