/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
Asp hjælp tak
Fra : Nicolaj suusgaard


Dato : 03-01-11 19:22

Hej har et lille problem, håber nogle kan hjælpe.

I min URL www.hjemmesidensnavn.dk/navnpåsiden?go=gallery

go henviser til ting i min database, som er i access, som skifter
alt efter hvad go er =.

Nu til det som jeg ikke kan finde ud af.

<%' Databaseforbindelse - husk at angive sti til din database
strSQL = "Select * From foto WHERE go=??"

?? Her skal så det fra URL ind.
Har prøvet med, <%Request.Querystring("gallery")%>


Set rs = Conn.Execute(strSQL)
Do'%>

Kan nogle hjælpe?

Kan lave det uden, men mere bøvl.

Mvh

Nicolaj

--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

 
 
Christian Kragh (03-01-2011)
Kommentar
Fra : Christian Kragh


Dato : 03-01-11 21:23

> <%' Databaseforbindelse - husk at angive sti til din database
> strSQL = "Select * From foto WHERE go=??"
>
> ?? Her skal så det fra URL ind.
> Har prøvet med, <%Request.Querystring("gallery")%>
>
> Set rs = Conn.Execute(strSQL)
> Do'%>

strSQL = "Select * From foto WHERE go='& Request.Querystring("gallery") &'"

Husk at kontrollere om brugeren ikke har snyt dig ved at ændre i din url
www.hjemmesidensnavn.dk/navnpåsiden?go='or1=1

Dermed bliver din side vist med det hackeren vil se...

Christian


Nicolaj suusgaard (04-01-2011)
Kommentar
Fra : Nicolaj suusgaard


Dato : 04-01-11 19:38

Hej Christian, har prøvet det som du skrev, men det giver stadig fejl.

Fejl.

Microsoft VBScript compilation error '800a0401'

Expected end of statement

/foto-t/foto-page2.asp, line 29

strSQL = "Select * From foto WHERE go='& Request.Querystring("gallery") &'"
--------------------------------------------------------------^


Her er hele koden.

<%' Databaseforbindelse - husk at angive sti til din database
Set Conn = Server.CreateObject("ADODB.Connection")
DSN = "DRIVER={Microsoft Access Driver (*.mdb)}; "
DSN = DSN & "DBQ=" & Server.MapPath("foto.mdb")
Conn.Open DSN
strSQL = "Select * From foto WHERE go='& Request.Querystring("gallery") &'"
Set rs = Conn.Execute(strSQL)
Do'%>

<img src="foto/<%Response.Write rs("foto_lille")%>" alt="" width="250"
height="170" />
<% rs.MoveNext
Loop While Not rs.EOF
Conn.Close
Set Conn = Nothing
%>


Mvh

Nicolaj

--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Christian Kragh (05-01-2011)
Kommentar
Fra : Christian Kragh


Dato : 05-01-11 08:58

Min fejl...
Manglede et " efter go=' og som 3. sidste...

Denne virker...

strSQL = "Select * From foto WHERE go='"& Request.Querystring("gallery")
&"'"


Leif Neland (05-01-2011)
Kommentar
Fra : Leif Neland


Dato : 05-01-11 22:42

Den 05-01-2011 08:57, Christian Kragh skrev:
> Min fejl...
> Manglede et " efter go=' og som 3. sidste...
>
> Denne virker...
>
> strSQL = "Select * From foto WHERE go='"& Request.Querystring("gallery")
> &"'"
>
Indtil databasen bliver inficeret med et sql-inject.

--
Bevar P2, luk P3, der er nok P3'er i forvejen.

Christian Kragh (06-01-2011)
Kommentar
Fra : Christian Kragh


Dato : 06-01-11 19:33

> > Min fejl...
> > Manglede et " efter go=' og som 3. sidste...
> > Denne virker...
> > strSQL = "Select * From foto WHERE go='"& Request.Querystring("gallery")
> > &"'"
> Indtil databasen bliver inficeret med et sql-inject.

Det har jeg advaret imod i mit første svar...

Christian


Leif Neland (04-01-2011)
Kommentar
Fra : Leif Neland


Dato : 04-01-11 21:46

Den 03-01-2011 19:22, Nicolaj suusgaard skrev:
> strSQL = "Select * From foto WHERE go=??"
>
> ?? Her skal så det fra URL ind.
> Har prøvet med,<%Request.Querystring("gallery")%>
>
>
Modificeret efter http://prepared-statement.blogspot.com/
Jeg antager at go er en tekststreng

Set dbCommand = Server.CreateObject("ADODB.Command")
Set dbCommand.ActiveConnection = dbConnection
dbCommand.CommandType = adCmdText
dbCommand.CommandText = "Select * From foto WHERE go=?"

dbCommand.Parameters.Append (dbCommand.CreateParameter("go", adChar,
adParamInput, <længde af feltet go i db>, Request.Querystring("gallery")))

Set rs = dbCommand.Execute

Egentlig ville jeg have henvist til Stig Johansens
http://w-o-p-r.dk/tips/asp/sql.inc.asp.txt men domænet ser ud til at
være ejet af Rune Jensen og er ikke aktivt.

Leif
--
Bevar P2, luk P3, der er nok P3'er i forvejen.

Nicolaj suusgaard (05-01-2011)
Kommentar
Fra : Nicolaj suusgaard


Dato : 05-01-11 21:41

Aften til jer.

Vil godt sige jer mange tak.
Nu køre det hele.

Tak Tak



Mvh

Nicolaj Suusgaard

--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

Søg
Reklame
Statistik
Spørgsmål : 177577
Tips : 31968
Nyheder : 719565
Indlæg : 6409071
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste