CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede trold Nybegynder
28. november 2006 - 11:06 Der er 3 kommentarer

ASP - Beskyt mod SQL Injektion - ADO Parameterized

Hvordan omskriver jeg nedenstående til ADO Parameterized, for at forhindre SQl Injection

strPartnername = Request.Form("txtUserID")
strPassword = Request.Form("txtPassword")

set Conn = Server.CreateObject("ADODB.connection")
Conn.Open lstrDBFile

Set rs = Server.CreateObject("ADODB.RecordSet")

strSQL = "Select * FROM MyTable WHERE (Partnername = '" & strPartnername & "') AND (Password = '" & strPassword & "')" 
rs.Open strSQL, Conn, 1, 3
Avatar billede keysersoze Guru
28. november 2006 - 11:08 #1
strPartnername = Replace(Request.Form("txtUserID"),"'","''")
strPassword = Replace(Request.Form("txtPassword"),"'","''")
Avatar billede trold Nybegynder
28. november 2006 - 11:22 #2
Det jeg leder efter er noget ala følgende (ADO parameterized SQL where parameters are replaced with static placeholders)

Det eneste jeg har kunnet finde er noget Dreamweavver koder fra Adobe - det kunne jeg ikke få til at spille
Recordset1_cmd = Server.CreateObject ("ADODB.Command");
Recordset1_cmd.ActiveConnection = MM_connMusic_STRING;
Recordset1_cmd.CommandText = "SELECT * FROM albums WHERE ID = ?";
Recordset1_cmd.Prepared = true;
Recordset1_cmd.Parameters.Append(Recordset1_cmd.CreateParameter("param1", 5, 1, -1, Recordset1__MMColParam)); // adDouble
var Recordset1 = Recordset1_cmd.Execute();


Replace ' med '' er den 100% sikker
Avatar billede softspot Forsker
28. november 2006 - 11:27 #3
Jeg ville da under alle omstændigheder (rundt regnet) altid vælge Command-objektet over en sammensat SQL-streng, så det kode du selv viser bør du fortsætte med at benytte.

Det skal efter min mening være nogle helt simple SQL-sætninger (uden parametre), for at en streng-version og connection.Execute kan retfærdiggøres (min personlige holdning til emnet i det mindste :)).
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Programmeringssprog kurser
Kurser inden for grundlæggende programmering
Se alle Programmeringssprog kurser

Flere spørgsmål fra ASP kategorien

Titel Indlæg Oprettet Seneste aktivitet
Lost focus Af bsn i ASP 0 07/11/202415:34 -
ASP classic Af bsn i ASP 8 28/10/202423:11 30/10/202422:51
Classic - filer vist med sidste fil først Af bsn i ASP 5 23/05/202409:56 24/05/202400:02
Optimer MySql table med ASP Af poulmadsen i ASP 4 26/04/202417:16 26/04/202418:37
JSON Af ingeman i ASP 3 07/04/202417:53 08/04/202412:09
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 17:06 Sort skærm Af luffe1955 i Windows
I dag 15:18 WM-bus Minomess Single Jet vandmåler Brunata/Zenner Af kulawig i Andet hardware
I dag 14:23 Navn i stifinder til ny bruger: C:\Users\defaultuser100000 Af Jørgen Kirkegaard i Windows
I dag 11:44 Sti og filnavn i sidefod Af boro23 i Word
I dag 11:02 Zyxel Multy U netværk Af jcr18 i Wifi
White papers
Flere white papers »


Premium
Teaser billede
Netcompany udsat for endnu et datalæk
Læs mere »
Leverandør til 50 danske kommuner ramt af ransomware: "Det er ikke sjovt," siger direktør Thomas à Porta
Norlys-kunder har store problemer efter sammenlægning af it-systemer: Internet, tv og telefoni crasher i lange baner
Meldes til politiet for grove GDPR-brud og elendig sikkerhed: Mere end 1.000 tidligere ansatte har haft fri adgang til centralt KMD-system
Se alle »
Computerworld
Teaser billede
Stort Microsoft-nedbrud rammer flere kunder: Problemer med Teams og mails
Læs mere »
Test: Den snusfornuftige Volkswagen ID.3 blevet til lidt af el-bisse
Kæmpe datalæk på hospital: 750.000 patienters fortrolige data lækket
Et ”mareridt for privatlivets fred”: Kontroversiel Windows-funktion er udkommet i en test-version
Se alle »
CIO
Teaser billede
Microsoft hæver priserne på M365: Sådan kommer de nye priser til at ramme
Læs mere »
Stort Microsoft-nedbrud rammer flere kunder: Problemer med Teams og mails
Konsulenthus vil rulle Microsoft 365 Copilot ud til 200.000 ansatte
Leverandør til 50 danske kommuner ramt af ransomware: "Det er ikke sjovt," siger direktør Thomas à Porta
Se alle »
Job & Karriere
Teaser billede
Microsoft klar med ny direktion for den danske forretning: Her er de nye direktører
Læs mere »
Efter skelsættende møde med sportscoach: Stor dansk it-arbejdsplads indfører fredags-fri og isbade i arbejdstiden
Linus Torvalds giver russiske Linux-udviklere sparket: Vil ikke have noget med dem at gøre
Twoday er rykket til et af de dyreste postnumre i Danmark – og det kan betale sig, siger topchef Lars Berthelsen
Se alle »
White paper
Teaser billede
Sådan: Én løsning til compliance, sikkerhed og overblik
Læs mere »
MDR: Transparent sikkerhed og overvågning i realtid
Vær proaktiv og prioritér IT-sikkerheden – før det er for sent
Sikkerhed uden grænser: Cisco Hypershield
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »