Fra Recordset til Command

Jeg er nu ikke helt sikker på, at jeg forstår din opgave, men såvidt jeg kan se er der basis for ét commandobjekt, nemlig der hvor du kalder Conn.Execute. Jeg kunne dog godt tænke mig at høre lidt mere om hvad det er du vil opnå, for det er lidt kryptisk formuleret i spørgsmålet (eller måske er jeg bare for træt til at læse dit budskab ;-))...

softspot > Overordnet set ønsker jeg at stoppe alle steder hvor der kunne forebygge sql injections. Det her er et sted hvor jeg umiddelbart mener der kunne forekomme et pga UPDATE Customers SET Alert = '" & Selskaber & "' WHERE ID = " & Session("Var_to_no_use"), men tager jeg fejl?

Men ihvertfald, derfor ønsker jeg at lave flg. kode om til at bruge command objektet ligesom vi har gjort andre steder i min kode.

Jamen i så fald kan opskriften være som foreskrevet i artiklen "Parameterisering af databasekald med ASP og ADO": http://www.eksperten.dk/artikler/1250

Det vil sige i dit konkrete tilfælde skal linien

Conn.Execute ("UPDATE Customers SET Alert = '" & Selskaber & "' WHERE ID = " & Session("Var_to_no_use"))

udskiftes med noget i stil med:

sql = "UPDATE Customers SET Alert = ? WHERE ID = ?"

set cmd = Server.CreateObject("ADODB.Command")
set cmd.ActiveConnection = Conn
cmd.CommandText = sql
cmd.CommandType = adCmdText
cmd.Parameters.Append cmd.CreateParameter("@alert", adVarChar, adParamInput, 255, Selskaber)
cmd.Parameters.Append cmd.CreateParameter("@id", adInteger, adParamInput, 4, Session("Var_to_no_use"))

recordCount = 0
cmd.Execute recordCount
if recordCount = 1 then
  response.write "Oplysningerne er nu gemt."
else
  response.write "Oplysningerne blev IKKE gemt. Forsøg evt. igen eller kontakt support."
end if

Du kan gøre oprettelsen af commandobjektet kodemæssigt lidt mere læsbart ved at pakke den ind i en funktion som kan kaldes med lidt parametre. Denne kan så genbruges de steder hvor dette måtte være relevant:

function getTextCommandConn(sql,conn)
  dim cmd
  set cmd = Server.CreateObject("ADODB.Command")
  set cmd.ActiveConnection = conn
  cmd.CommandText = sql
  cmd.CommandType = adCmdText
  set getTextCommandConn = cmd
end function


Denne kaldes så i eksemplet fra 03/01-2009 11:42:42 således:

sql = "UPDATE Customers SET Alert = ? WHERE ID = ?"

set cmd = getTextCommandConn(sql,Conn)
cmd.Parameters.Append cmd.CreateParameter("@alert", adVarChar, adParamInput, 255, Selskaber)
cmd.Parameters.Append cmd.CreateParameter("@id", adInteger, adParamInput, 4, Session("Var_to_no_use"))

recordCount = 0
cmd.Execute recordCount
if recordCount = 1 then
  response.write "Oplysningerne er nu gemt."
else
  response.write "Oplysningerne blev IKKE gemt. Forsøg evt. igen eller kontakt support."
end if

Hvis du placerer funktionen strategisk fornuftigt, kan den naturligvis genbruges mange andre steder og dermed blive rigtig nyttig til at slanke din kode lidt og gøre den mere læsbar.

softspot > send svar og du får points. et enkelt (dumt) spg: jeg kan vel fint udelade din if sætning nederst som fortæller om der er gemt eller ej?. Vil helst ikke tilføje nye ting til koden. Men mange tak for hjælpen :)

Naturligvis, if-sætningen var blot for at illustrere, hvordan man kunne bruge recordCount til at validere/sandsynliggøre at kaldet var udført korrekt... :-)

NB: Du kan også undlade recordCount hvis du ikke benytter den til noget og dermed få flg. kode:

sql = "UPDATE Customers SET Alert = ? WHERE ID = ?"

set cmd = getTextCommandConn(sql,Conn)
cmd.Parameters.Append cmd.CreateParameter("@alert", adVarChar, adParamInput, 255, Selskaber)
cmd.Parameters.Append cmd.CreateParameter("@id", adInteger, adParamInput, 4, Session("Var_to_no_use"))

cmd.Execute

Tak for point :)