Syntax og replace

hvis du bruger parameters / prepared statement så behøver du ikke bekymre dig
om ' etc.

men hvis den tekst skal vises på en web side vil du muligvis teste for HTML
tags

Okay parameters / prepared statement  har jeg ikke hørt om før?
Hvordan bruger jeg den?

hvilket sprog bruger du til applikationen ?

ASP 3.0 og VBScript

ADO.NET (som man bruger i ASP) har parameters

jeg har vist kun et Access eksempel på lager men det bør virke lige så fint
med MySQL:

<%
' open
adParamInput = 1
adInteger = 3
adVarChar = 200
Set con = Server.CreateObject("ADODB.Connection")
con.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=C:\Databases\MSAccess\Test.mdb;;"
Set cmd = Server.CreateObject("ADODB.Command")
cmd.ActiveConnection = con
' traditionel
con.Execute "INSERT INTO t1 VALUES(7,'O''Toole')"
' med parameters
cmd.CommandText = "INSERT INTO t1 VALUES(@f1,@f2)"
cmd.Parameters.Append(cmd.CreateParameter("@f1", adInteger, adParamInput))
cmd.Parameters.Append(cmd.CreateParameter("@f2", adVarChar, adParamInput, 50))
cmd.Parameters("@f1") = 8
cmd.Parameters("@f2") = "O'Malley"
cmd.Execute
' close
Set cmd = Nothing
Set con = Nothing
%>

da jeg allerede har åbnet for adgang til min db behøver jeg ikke at gøre det igen - så jeg kan vel bare pille det ud af ovenstående script korrekt?

Ydermere forstår jeg hellere ikke brugen af insert into, der er jo 2?

Hvor i alverden skal jeeg indsætte min inserto into statement?
Ja undskyld, ved godt det er kun burde handle om MySQL men du ser nu til at have check på det arne_v

Håber du kan hjælpe :-)

det er demo kode som viser 2 forskellige måder at lave INSERT på:

1) traditionel hvor man fordobler '
2) med parameters

hvordan ser din INSERT ud nu ?

men er adInteger, adParamInput og adVarChar, adParamInput, 50)) noget "indbygget" i ADODB.Command?Forstår den ikke da jeg ikke kan se hvordan tegn bliver replacet

Her er den insert det handler om:

sql = "INSERT INTO Members (MemberID,brugernavn,nickname,kodeord,alder,navn,email,beskrivelse,LastSeenDate,LastSeenTime,Aktiveret,AktiveringsKode)"
                        sql = sql & " VALUES ("&""&newID&",'"&brugernavn&"','"&nickname&"','"&kodeord&"',"&alder&",'"&navn&"','"&email&"','"&beskrivelse&"','"&CDATE(Date())&"','"&FormatDateTime(Now(), vbShortTime)&"',0,'"&newPass&"')"
                        conn.execute(sql)

så erstatter du alle de mange variabel navne med placeholdere og tilføjer
parametre for hver af dem

Okay, det lyder fornuftigt.
Men tænkte, har du ikke en liste med samtlige tegn der burde replaces?
Det er nu rart at vide...

umiddelbart vil jeg tror at kun ' og " er SQL farlige

mens HTML tags muligvis kan være applikations farlige

men den slags er der større guruer end mig til

okay, men takker for hjælpen arne_v :-)

Smid et svar

svar