---

I et asp-classic / Mssql site, kører opdateringer igennem en funktion
StrFix, der fjerner enkeltapostroffer (') og pipe (|)

Jeg kan forstå at ' kan være farligt, når man opbygger sql'en i asp:
sql = "update ... set felt='" & feltindhold & "' where..."

Men er | "farlig" på samme måde?

Leif

---

Leif Neland wrote:
> I et asp-classic / Mssql site, kører opdateringer igennem en funktion
> StrFix, der fjerner enkeltapostroffer (') og pipe (|)
>
> Jeg kan forstå at ' kan være farligt, når man opbygger sql'en i asp:
> sql = "update ... set felt='" & feltindhold & "' where..."
>
> Men er | "farlig" på samme måde?

Jeg har aldrig hørt at '|' skulle have en speciel betydning i T-SQL.

Men hvorfor ¤%"!¤&%!¤&%"! bruger i ikke parameters fremfor en
hjemmestrikket string konverterings funktion.

Arne

---

"Arne Vajhøj" <arne@vajhoej.dk> skrev i en meddelelse
news:49805402$0$90265$14726298@news.sunsite.dk...
> Leif Neland wrote:
>> I et asp-classic / Mssql site, kører opdateringer igennem en funktion
>> StrFix, der fjerner enkeltapostroffer (') og pipe (|)
>>
>> Jeg kan forstå at ' kan være farligt, når man opbygger sql'en i asp:
>> sql = "update ... set felt='" & feltindhold & "' where..."
>>
>> Men er | "farlig" på samme måde?
>
> Jeg har aldrig hørt at '|' skulle have en speciel betydning i T-SQL.
>
> Men hvorfor ¤%"!¤&%!¤&%"! bruger i ikke parameters fremfor en
> hjemmestrikket string konverterings funktion.
>

Det vil jeg også. Men der er en hel del kode, der skal skrives om...

Leif

> Arne

---

Arne Vajhøj <arne@vajhoej.dk> wrote in
news:49805402$0$90265$14726298@news.sunsite.dk:

> Men hvorfor ¤%"!¤&%!¤&%"! bruger i ikke parameters fremfor en
> hjemmestrikket string konverterings funktion.

For Oracles vedkommende kan jeg godt fortælle dig hvorfor parametre ikke er
den mest praktiske ide :( I hvert fald ikke når man bruger .NET og Oracles
egen .NET driver.

Parametrenes navne ignoreres i de fleste tilfælde og rækkefølgen man
tildeler parametrene værdi afgør hvilken placering de får i SQL'en.

Dato felter - glem det, chancen for at det går godt er mindre end 1% :(

Hvis man derudover er glad for tilfældige funktionaliteter og mærkelige
fejlscenarier så er Oracle og parametre det bedste der findes! F.eks. er
det ikke unormalt at Oracle kan finde på at glemme et parameter hvis det er
en tom værdi (tom streng f.eks.) og så blot rykke de efterfølgende
parametre frem.

Men når det er sagt så er parametre 100% den sikreste løsning når det
kommer til brugerinput.

--
Henrik Stidsen - http://henrikstidsen.dk/
http://fuglemarkedet.dk/ - Danmarks online fuglemarked!

---

On 2009-01-28, Henrik Stidsen <inbox@henrikstidsen.dk> wrote:
>
>> Men hvorfor ¤%"!¤&%!¤&%"! bruger i ikke parameters fremfor en
>> hjemmestrikket string konverterings funktion.
>
> For Oracles vedkommende kan jeg godt fortælle dig hvorfor parametre ikke er
> den mest praktiske ide :( I hvert fald ikke når man bruger .NET og Oracles
> egen .NET driver.

Det lyder som et fint argument...
...for at droppe Oracle.

--
Andreas

---

Andreas Plesner Jacobsen wrote:

> Det lyder som et fint argument...
> ...for at droppe Oracle.

Jeg synes mere det lyder som et godt argument for at droppe .NJET

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen <wopr.dk@gmaill.com> wrote in
news:49808dba$0$90272$14726298@news.sunsite.dk:

>> Det lyder som et fint argument...
>> ...for at droppe Oracle.

> Jeg synes mere det lyder som et godt argument for at droppe .NJET

Eftersom driveren er lavet af Oracle så er jeg med på Andreas´ forslag om
at droppe Oracle!

--
Henrik Stidsen - http://henrikstidsen.dk/
http://fuglemarkedet.dk/ - Danmarks online fuglemarked!

---

Andreas Plesner Jacobsen <apj@daarligstil.dk> wrote in
news:slrngo133r.krr.apj@irq.hestdesign.com:

>> For Oracles vedkommende kan jeg godt fortælle dig hvorfor parametre
>> ikke er den mest praktiske ide :( I hvert fald ikke når man bruger
>> .NET og Oracles egen .NET driver.

> Det lyder som et fint argument...
> ...for at droppe Oracle.

Helt enig - men det er desværre ikke noget jeg selv kan bestemme :(

--
Henrik Stidsen - http://henrikstidsen.dk/
http://fuglemarkedet.dk/ - Danmarks online fuglemarked!