Notifikationer

Markér alle som læst Log ud

donslund Nybegynder

07. oktober 2001 - 14:27 Der er 11 kommentarer og
1 løsning

Hvordan undgår man at folk lade noget lort.

Hvordan hvordan ungår man at folk laver lort når de skriver til min DB via en form?
De kan vel lave lort ved at bruge tegn som ( ) \' / og andre?
Kan man kode sig ud af det. Det kan man vist i PHP men hvad med ASP?

Synes godt om

cliche Nybegynder

07. oktober 2001 - 14:29 #1

Yep du kan html.encode i ASP, kan du bruge det for så vil jeg gerne hurtigt lave noget :9

Synes godt om

mortenfn Nybegynder

07. oktober 2001 - 14:30 #2

strip_tags();

Synes godt om

mortenfn Nybegynder

07. oktober 2001 - 14:30 #3

ups asp

Synes godt om

mortenfn Nybegynder

07. oktober 2001 - 14:31 #4

forkert kategori prøv ASP

Synes godt om

cliche Nybegynder

07. oktober 2001 - 14:32 #5

<% Server.HTMLEncode(Request.Form(\"Din_Form\")) %>

Synes godt om

cliche Nybegynder

07. oktober 2001 - 14:33 #6

Måske lave det til en var først

<%
strResults = Server.HTMLEncode(Request.Form(\"Din_Form\"))
Response.Write strResults
%>

Synes godt om

donslund Nybegynder

07. oktober 2001 - 14:56 #7

Cliche ---

Dette kode:

strSQL = \"update adresser set fornavn = \'\" & Request.Form(\"fornavn\") & \"\', \"
strSQL = strSQL + \"mellemnavn = \'\" & Request.Form(\"mellemnavn\") & \"\', \"
strSQL = strSQL + \"efternavn = \'\" & Request.Form(\"efternavn\") & \"\', \"
strSQL = strSQL + \"foedenavn = \'\" & Request.Form(\"foedenavn\") & \"\', \"
strSQL = strSQL + \"adresse = \'\" & Request.Form(\"adresse\") & \"\', \"
strSQL = strSQL + \"postnr = \'\" & Request.Form(\"postnr\") & \"\', \"
strSQL = strSQL + \"city = \'\" & Request.Form(\"city\") & \"\', \"
strSQL = strSQL + \"foedselsdato = \'\" & Request.Form(\"foedselsdato\") & \"\', \"
strSQL = strSQL + \"tlf = \'\" & Request.Form(\"tlf\") & \"\', \"
strSQL = strSQL + \"mobil = \'\" & Request.Form(\"mobil\") & \"\', \"
strSQL = strSQL + \"email = \'\" & Request.Form(\"email\") & \"\', \"
strSQL = strSQL + \"omperson = \'\" & Request.Form(\"omperson\") & \"\' \"
strSQL = strSQL + \" where id = \" & session(\"elevnummer\")

Burde laves om til noget der ligner dette:

strSQL = \"update adresser set fornavn = \'\" & strResults = Server.HTMLEncode(Request.Form(\"fornavn\")) Response.Write strResults & \"\', \"
strSQL = strSQL + \"mellemnavn = \'\" & Request.Form(\"mellemnavn\") & \"\', \"
strSQL = strSQL + \"efternavn = \'\" & Request.Form(\"efternavn\") & \"\', \"
strSQL = strSQL + \"foedenavn = \'\" & Request.Form(\"foedenavn\") & \"\', \"
strSQL = strSQL + \"adresse = \'\" & Request.Form(\"adresse\") & \"\', \"
strSQL = strSQL + \"postnr = \'\" & Request.Form(\"postnr\") & \"\', \"
strSQL = strSQL + \"city = \'\" & Request.Form(\"city\") & \"\', \"
strSQL = strSQL + \"foedselsdato = \'\" & Request.Form(\"foedselsdato\") & \"\', \"
strSQL = strSQL + \"tlf = \'\" & Request.Form(\"tlf\") & \"\', \"
strSQL = strSQL + \"mobil = \'\" & Request.Form(\"mobil\") & \"\', \"
strSQL = strSQL + \"email = \'\" & Request.Form(\"email\") & \"\', \"
strSQL = strSQL + \"omperson = \'\" & Request.Form(\"omperson\") & \"\' \"
strSQL = strSQL + \" where id = \" & session(\"elevnummer\")

Eller hvad?

Selvfølgelig skal koden sættes ind i alle linier.

Synes godt om

donslund Nybegynder

07. oktober 2001 - 15:24 #8

Eller skal jeg først lave alle input om til variabler:

strFornavn = Server.HTMLEncode(Request.Form(\"fornavn\"))

Og så sætte dem ind i min SQL-Update:

strSQL = \"update adresser set fornavn = \'\" & Response.Write strResults & \"\', \"

Synes godt om

cliche Nybegynder

07. oktober 2001 - 15:25 #9

Well nope mere ala dette.

strSQL = \"update adresser set fornavn = \'\" & server.htmlencode(Request.Form(\"fornavn\")) & \"\', \"
strSQL = strSQL + \"mellemnavn = \'\" & server.htmlencode(Request.Form(\"mellemnavn\")) & \"\', \"
strSQL = strSQL + \"efternavn = \'\" & server.htmlencode(Request.Form(\"efternavn\")) & \"\', \"
strSQL = strSQL + \"foedenavn = \'\" & server.htmlencode(Request.Form(\"foedenavn\")) & \"\', \"
strSQL = strSQL + \"adresse = \'\" & server.htmlencode(Request.Form(\"adresse\")) & \"\', \"
strSQL = strSQL + \"postnr = \'\" & server.htmlencode(Request.Form(\"postnr\")) & \"\', \"
strSQL = strSQL + \"city = \'\" & server.htmlencode(Request.Form(\"city\")) & \"\', \"
strSQL = strSQL + \"foedselsdato = \'\" & server.htmlencode(Request.Form(\"foedselsdato\")) & \"\', \"
strSQL = strSQL + \"tlf = \'\" & server.htmlencode(Request.Form(\"tlf\")) & \"\', \"
strSQL = strSQL + \"mobil = \'\" & server.htmlencode(Request.Form(\"mobil\")) & \"\', \"
strSQL = strSQL + \"email = \'\" & server.htmlencode(Request.Form(\"email\")) & \"\', \"
strSQL = strSQL + \"omperson = \'\" & server.htmlencode(Request.Form(\"omperson\")) & \"\' \"
strSQL = strSQL + \" where id = \" & session(\"elevnummer\")

Synes godt om

cliche Nybegynder

07. oktober 2001 - 15:28 #10

Du kan også bare lave din kode sådan her

For each item in request.form then
server.htmlencode

strSQL = \"update adresser set fornavn = \'\" & Request.Form(\"fornavn\") & \"\', \"
strSQL = strSQL + \"mellemnavn = \'\" & Request.Form(\"mellemnavn\") & \"\', \"
strSQL = strSQL + \"efternavn = \'\" & Request.Form(\"efternavn\") & \"\', \"
strSQL = strSQL + \"foedenavn = \'\" & Request.Form(\"foedenavn\") & \"\', \"
strSQL = strSQL + \"adresse = \'\" & Request.Form(\"adresse\") & \"\', \"
strSQL = strSQL + \"postnr = \'\" & Request.Form(\"postnr\") & \"\', \"
strSQL = strSQL + \"city = \'\" & Request.Form(\"city\") & \"\', \"
strSQL = strSQL + \"foedselsdato = \'\" & Request.Form(\"foedselsdato\") & \"\', \"
strSQL = strSQL + \"tlf = \'\" & Request.Form(\"tlf\") & \"\', \"
strSQL = strSQL + \"mobil = \'\" & Request.Form(\"mobil\") & \"\', \"
strSQL = strSQL + \"email = \'\" & Request.Form(\"email\") & \"\', \"
strSQL = strSQL + \"omperson = \'\" & Request.Form(\"omperson\") & \"\' \"
strSQL = strSQL + \" where id = \" & session(\"elevnummer\")

Er nu ikke sikker på denne ville virke

Synes godt om

fri-hash Nybegynder

08. oktober 2001 - 13:59 #11

ellers kan du lave et javascript der kontrollerer indholdet at din form hos clienten INDEN den sendes til serveren, og således sikre at det der er indtastet i hvert felt overholder de krav du beslutter dig for at de skal

Synes godt om

cliche Nybegynder

08. oktober 2001 - 15:12 #12

strSQL = \"Update adresser Set fornavn = \'\" & Request.Form(\"fornavn\") & \"\', \"

dim strMinvar(10)
strMinvar(0) = mellemnavn
strMinvar(1) = efternavn
strMinvar(2) = foedenavn
strMinvar(3) = adresse
strMinvar(4) = postnr
strMinvar(5) = city
strMinvar(6) = foedselsdato
strMinvar(7) = tlf
strMinvar(8) = mobil
strMinvar(9) = email
strMinvar(10) = omperson

For Each Item In strMinvar

strSql = strSql + \"strMinvar = \'\" & Server.HtmlEncode(Request.Form(\"strMinvar\") & \"\',\"

Next

strSQL = strSQL + \" Where Id = \" & Session(\"elevnummer\")

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

SQL kurser

Computerworld tilbyder specialiserede kurser i database-management

Se alle SQL kurser

Flere spørgsmål fra MySQL kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Problemer med Æ, Ø og Å ved søgning Af cht22 i MySQL	6	01/05/202512:30	01/05/202517:22
Kan ikke få forbindelse til min database Af KurtG i MySQL	5	20/03/202520:07	21/03/202513:10
Kan jeg lave en "søg og erstat" i databasen Af a3-seo.dk i MySQL	4	28/12/202407:53	29/12/202404:41
Auto Faktura.. Af SommerFyr i MySQL	21	13/08/202415:08	15/08/202417:54
Hjemmeside med bruger login Af FennekTheFox i MySQL	3	22/06/202411:29	29/06/202409:13

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS