CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede s0mmer Nybegynder
03. januar 2009 - 00:58 Der er 9 kommentarer og
1 løsning

Command objektet

Hej Eksperter,

Jeg er før blevet rådet til at bruge Command objektet, men ku godt bruge lidt hjælp til at få det ændret.

Jeg vil gerne ændre flg:
<%
set Conn = Server.CreateObject("ADODB.Connection")
Conn.Open "Provider=SQLOLEDB;Data Source=xx;Initial Catalog=xx;User Id=xx;Password=xx;"

    SQL = "select * from Featurestories where ID = " & Request("ID")
    Set RS = Conn.Execute(SQL)

    Var_Text1 = RS("Text1")
    Var_Text7 = RS("Text7")   
    Var_Note1 = RS("Note1")

    RS.Close
    Set RS = Nothing
    Conn.Close
    Set Conn = Nothing
%>

Til formen:
    set Conn = Server.CreateObject("ADODB.Connection")
    Conn.Open "Provider=SQLOLEDB;Data Source=xx;Initial Catalog=xx;xxId=xx;Password=xx;"
    strSQL = "SELECT * FROM customers WHERE ([ID] = ?)"

    set cmd = Server.CreateObject("ADODB.Command")
    set cmd.ActiveConnection = Conn
    cmd.CommandType = adCmdText
    cmd.CommandText = strSQL
    cmd.Parameters.Append cmd.CreateParameter("@ID", adVarChar, adParamInput, 255, Session("userID"))
    Set rs = cmd.Execute()


Det burde ik være så svært for en der har lidt mere forstand på asp end jeg :) På forhånd tak
Avatar billede softspot Forsker
03. januar 2009 - 03:14 #1
Det er ikke umiddelbart så svært. Jeg vil mene dette er måden:

<%
    set Conn = Server.CreateObject("ADODB.Connection")
    Conn.Open "Provider=SQLOLEDB;Data Source=xx;Initial Catalog=xx;xxId=xx;Password=xx;"
    strSQL = "select * from Featurestories where ([ID] = ?)"

    set cmd = Server.CreateObject("ADODB.Command")
    set cmd.ActiveConnection = Conn
    cmd.CommandType = adCmdText
    cmd.CommandText = strSQL
    cmd.Parameters.Append cmd.CreateParameter("@ID", adVarChar, adParamInput, 255, Request("ID"))
    Set rs = cmd.Execute()
    Var_Text1 = RS("Text1")
    Var_Text7 = RS("Text7")   
    Var_Note1 = RS("Note1")

    RS.Close
    Set RS = Nothing
    Conn.Close
    Set Conn = Nothing
%>
Avatar billede s0mmer Nybegynder
03. januar 2009 - 12:32 #2
softspot > men giver du mig ret i at der er mulighed for sql injections i den oprindelig kode? og at det er en god idé at ændre til command objektet?
Avatar billede s0mmer Nybegynder
03. januar 2009 - 12:41 #3
softspot > og hvis det ikke er eks. ID = noget.. men LIKE, er dette så korrekt:

strSQL = "SELECT * FROM Customers where ([email] LIKE ?)"
Avatar billede softspot Forsker
03. januar 2009 - 12:44 #4
Der er i allerhøjeste grad risiko for injetions i den oprindelige kode (det er faktisk et klassisk eksempel på SQL som er åben for injections).

Jeg er af den opfattelse, at med mindre der er tale om helt simple eller totalt statiske SQL-sætninger, der skal udføres mod databasen, så skal det laves med command-objektet frem for en direkte tilgang. Der kan naturligvis være undtagelser som taler for den direkte tilgang (f.eks. af performancemæssige grunde, da conn.execute alt andet lige er hurtigere til enkeltstående databasekald). Men i disse tilfælde må man så forberede sig på at lave en del af benarbejdet omkring validering mod injetions selv.
Avatar billede softspot Forsker
03. januar 2009 - 12:47 #5
Vedr. 03/01-2009 12:41:00, så har jeg faktisk ikke arbejdet så meget med LIKE i command-objektet uden at vide på forhånd hvor mine wildcards skulle placeres i fht. parameteren, men jeg vil da tro det fungerer på den måde du viser, hvor værdien af parameteren så indeholder de wildcards der skal benyttes.

Eksempelvis:


set Conn = Server.CreateObject("ADODB.Connection")
Conn.Open "Provider=SQLOLEDB;Data Source=xx;Initial Catalog=xx;xxId=xx;Password=xx;"
strSQL = "SELECT * FROM Customers where ([email] LIKE ?)"

set cmd = Server.CreateObject("ADODB.Command")
set cmd.ActiveConnection = Conn
cmd.CommandType = adCmdText
cmd.CommandText = strSQL
cmd.Parameters.Append cmd.CreateParameter("@email", adVarChar, adParamInput, 255, "%" & Request("emailpart") & "%")
Set rs = cmd.Execute()
'... osv...
Avatar billede s0mmer Nybegynder
03. januar 2009 - 12:59 #6
softspot > du har fortjent points i begge mine tråde nu, men jeg har lige nogle spørgsmål (jeg håber det er ok?)

1.
hvis jeg skal indsætte en værdi istedet for at referere til noget request eller lign, skal det så i '' eller "" eller bare stå uden? eks:

cmd.Parameters.Append cmd.CreateParameter("@ID", adVarChar, adParamInput, 255, "min værdi")

2.
hvis der er åbnet for databasen og en rigtig lang kode laver nogle Conn.execute (i oprindelige kode!) flere steder i if sætningen og jeg ønsker at erstatte det med command tilgange. Så skal jeg lave hele cmd rækkefølgen hver gang der bare er en linjes Conn.execute ikke sandt?
eks:
    'Conn.Execute("Delete FROM Customers where ID = "&Var_ID)

ville blive erstattet med:
    strSQL = "DELETE FROM Customers where ([ID] = ?)"
    set cmd = Server.CreateObject("ADODB.Command")
    set cmd.ActiveConnection = Conn
    cmd.CommandType = adCmdText
    cmd.CommandText = strSQL
    cmd.Parameters.Append cmd.CreateParameter("@ID", adVarChar, adParamInput, 255, Var_ID)
    Set RS = cmd.Execute()
Avatar billede softspot Forsker
03. januar 2009 - 13:20 #7
Ad 1. Hvis det er en konstant streng du vil putte i parameteren, så skal den følge syntaksen for en VBScript-streng, dvs. "min værdi". Hvis det er et tal, skal der ikke nogen afgrænser omkring værdien. Er det en variabel skal der naturligvis heller ikke noget omkring...

Ad 2. Jo, det er korrekt, men der vil jeg da anbefale at du lige kigger på mit forelag i den anden tråd (vedr. indpakning af command-initialiseringen), det vil gøre arbejdet lidt mere overkommeligt: http://www.eksperten.dk/spm/858335#rid7292285
Avatar billede s0mmer Nybegynder
05. januar 2009 - 18:48 #8
softspot > mange tak for hjælpen. send svar og du får points :) læg venligst mærke til en tråd jeg opretter nu. igen noget du kan svare på :)
Avatar billede softspot Forsker
05. januar 2009 - 22:38 #9
Velbekomme :-)
Avatar billede softspot Forsker
07. januar 2009 - 23:07 #10
Tak for point :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Programmeringssprog kurser
Kurser inden for grundlæggende programmering
Se alle Programmeringssprog kurser

Flere spørgsmål fra ASP kategorien

Titel Indlæg Oprettet Seneste aktivitet
Classic - filer vist med sidste fil først Af bsn i ASP 5 23/05/202409:56 24/05/202400:02
Optimer MySql table med ASP Af poulmadsen i ASP 4 26/04/202417:16 26/04/202418:37
JSON Af ingeman i ASP 3 07/04/202417:53 08/04/202412:09
Vis detaljeret fejlkoder Af poulmadsen i ASP 6 09/03/202418:16 10/03/202417:59
IIS virker ikke på asp sider... Af bsn i ASP 10 15/10/202313:12 18/10/202308:48
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 19:19 Grafikproblemer og fejl i logbog Af Marianne Tidemann i PC
I går 14:16 Fra extern computer til app på vores computer Af per2edb i Cloudtjenester
I går 13:39 Kan man lukke en fil, en anden bruger har åben Af Dorte i Excel
I går 11:08 Trim tekst i batch script Af Dan Elgaard i Andet programmering
04/0918:39 Min HP deskjet 4260 skal erstattes. Af nu_igen i Printere
White papers
Flere white papers »


Premium
Teaser billede
Ordknap bestyrelsesformand: "Jeg er sikker på, at det vil gå Merete Søby godt fremover"
Læs mere »
Merete Søby fratræder med omgående virkning som CEO for Schultz efter blot tre måneder på posten
Bruger flest it-kroner per indbygger: Disse 10 danske kommuner har de højeste it-udgifter per borger
Antallet af nye sager i Datatilsynet stiger: Især én type sager er i en kategori for sig selv
Se alle »
Computerworld
Teaser billede
Om en uge går det løs: Så banebrydende bliver iPhone 16
Læs mere »
Test af Tesla Model 3 Performance: Aldrig har man fået så meget sportsvogn til så få penge
Lokker med ’Nordens hurtigste internet’: Sådan ved du, om du kan få adgang til Danmarks nyeste bredbåndsudbyder
Vil erstatte halvdelen af sine ansatte med AI: De tilbageværende kan se frem til lønforhøjelser
Se alle »
CIO
Teaser billede
Selskab med 40.000 ansatte dropper VMware efter ballade - vælger anden løsning
Læs mere »
Kommunerne brugte 6,6 milliarder kroner på it i 2023: Se top 10 over hvem der bruger flest penge
De to største medlems-kommuner trækker sig fra det sjællandske it-fællesskab Digit
Professor: "Det er på høje tid at opløse virksomhedernes it-afdelinger"
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
Professor: "Det er på høje tid at opløse virksomhedernes it-afdelinger"
KMD-direktør forlader selskabet: Det skal hun nu
Kom tæt på Danmarks nye digitaliserings-minister: 33-årige Caroline Stage Olsen er tidligere tobaks-lobbyist - har været aktiv i politik siden hun var helt ung
Se alle »
White paper
Teaser billede
Informationshåndtering på frontlinjen: Sådan optimerer du med automatisering
Læs mere »
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Vær proaktiv og prioritér IT-sikkerheden – før det er for sent
Cyberstatus 2024: Her er truslerne – og her forbereder virksomhederne sig
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »