SQL i Url'en

Kan du ikke lägge parametrene i en session eller sende dem med POST?

du lader være med at tage dine sql'er med i queryen :-)

Men helt ærligt så er det ikke den mest sikre måde at køre en hjemmeside..

Men skal lige vide..
Kører du fx:

default.asp?sql=select from tabel where

eller blot:
default.asp?sql=order by id

altså er det hele sql'en eller blot nogle forskellige conditions?

http://www.html.dk/tutorials/asp/lektion12.asp
Her er der lidt om sessions.

http://www.html.dk/tutorials/asp/lektion11.asp
Og her om POST med FORMs

Er først lige blevet klar over denne problemstilling, hvilket er lidt ærgeligt, eftersom jeg faktisk er færdig med shoppen. Jeg vil jo derfor helst undgå de store operationer.

Min string ser således ud:
default.asp?sql=select from tabel where

Som ellebaek siger, så er det ikke smart at bruge querystring til sådanne funktioner. Så jeg ville anbefale dig at bruge sessions eller POST.

Ok! Lidt ærgeligt finde ud af det så sent, men man lærer jo hele tiden noget nyt. Jeg kigger på det.

:-)

du kan jo eventuelt lave en test på din sql, og så blot chekke for om det er tilladt det brugeren gør..

Fx.

<%
sqlarr = split(lcase(request.querystring("sql"))," ")
if sqlarr(0) <> "select" then
response.write "fy...  du må kun bruge select"
elseif sqlarr(2) <> "din tabel" then
response.write "fy... du må kun bruge min tabel"
else
response.write "Du er en guttermand og din sql er i orden.."
end if
%>

Tror jeg vil benytte denne løsning i dette tilfælde, da det umiddelbart virker som det mest overskuelige, men vil fremover undlade bruge Url'en, som I foreslår.

okay...

Jeg smider et sbar her så...!

OK, smider også et sbar ;o)

Tak for hjælpen, drenge!

michael, hvordan vil du forhindre det ved at sende vha post? Den kan da forfalskes lige så nemt som get

ranglen>>Det kan ikke forhindres hverken med POST eller SESSIONS, men det gör det svärere. Spörgsmålet gik ikke ud på om det kunne forhindres, men hvordan man fjernede teksten fra adressefeltet.
Du må forresten lige fortälle mig hvor jeg har skrevet at det kan forhindres?

okay, det skriver du så heller ikke dirkte. Men spm lød

"Hvordan hindrer jeg muligheden for, at brugeren selv kan skrive en Query direkte i url'en"

og så lød det bare i mine ører, at post kunne forhindre det. Og om post gør det sværere, kan så diskuteres.

Men hele pointen er vel, at man aldrig generer sine sql'er på klientsiden.

ja, man bør ikke generere queryer client side, da det er et sikkerhedsbrist...

Men man kan som jeg beskrev så lave nogle forskellige metoder til at sikre at der ikke bliver benyttet queries der kan manipulere i databasen..

Man kan så hvis man gerne vil lave det i queien kryptere strengen før den bliver sendt afsted som en querystring og så dekryptere når man kommer hen på næste side...

Der er faktisk mange måder det kan gøres på, man kan blot også sende en kode afsted der indikere hvilken sql man skal benytte på den næste side...
og så have alle sql'er i en fil, som så egentlig blot inkluderes på en side..

Men det sikreste er selvfølgelig at holde det hele serverside, selvom det kan være meget omstændigt efter hvad man arbejder med...!