---

Hej..
Jeg er ved at lave et CMS system, som skal bruges til flere
sider, men samme database. Derfor kunne det være smart at man
ligesom med Querystring kunne gøre dette hurtigt:

ID= Request.Querystring('id')

Er det muligt at gøre samme nummer med Database connection eks:
tekst=response.write "tekst"
"Select * From" & tekst & "where id = " &
Request.Querystring("id")

det vil så retunere:

"Select * From tekst where id = " & Request.Querystring("id")

ovenstående kode virker ikke..
Nogle der kender en løsning?
Hilsen Anders

--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Anders M skrev:
> Hej..
> Jeg er ved at lave et CMS system, som skal bruges til flere
> sider, men samme database. Derfor kunne det være smart at man
> ligesom med Querystring kunne gøre dette hurtigt:
>
> ID= Request.Querystring('id')
>
> Er det muligt at gøre samme nummer med Database connection eks:
> tekst=response.write "tekst"
> "Select * From" & tekst & "where id = " &
> Request.Querystring("id")
>
> det vil så retunere:
>
> "Select * From tekst where id = " & Request.Querystring("id")
>
> ovenstående kode virker ikke..

Definer "virker ikke"

Det burde det.

Og så ser vi lige bort fra mulighederne for ondsindede sql-injects.

Leif

---

Leif Neland skrev:

> Og så ser vi lige bort fra mulighederne for ondsindede sql-injects.

Jeg var ved at skrive noget om at opfordre til injection, men opfattede
det trods alt som et eksempel for eksemplets skyld, og at Anders godt er
klar over faren ved koden som beskrevet.

Tiden fra indexering på Google til første forsøg på sårbarhedsscanning
og SQL-injection ligger vel på en dags tid eller så, max omkring en uge.
Nogle går direkte efter sider, som har indekseret querystring variable,
andre skyder bare med spredehagl.


MVH
Rune Jensen