Data type mismatch in criteria expression

...where gruppe = clng(request.querystring("gr")) ORDER BY...

Og kig samtidig på denne artikel; http://www.web-dev.dk/post/SQL-injections-mere-end-bare-et-pling.aspx

Tak ...

Hvorfor er det mon jeg kun har brugt request ... hmm
tester lige i morgen ...

Du sender nok lige et svar ...

/Søren

Det er ikke request/request.querystring der gør forskellen - der er bare ingen grund til at lede hele request-objektet igennem hvis du ved at værdien altid ligger i querystring.

... åh ... nu tror jeg at jeg forstår ...
Og lærte nyt om request ... tak

Bare for en ordensskyld ... så er den rigtige løsning denne ...

    ... where gruppe= "&  clng(request("gr")) & " ORDER ...

Ubs ... selvfølgelig med ... request.querystring

sorry - ja, selvfølgelig. Det er vist bare for lang tid siden jeg har lavet gammeldags ASP. Men stadig, husk nu at tage højde for SQL Injection.

... skal nok prøve at læse noget om SQL Injection ... og få dem implementeret ...

Det kunne også gøres sådan:

strsql = "SELECT * FROM udbud WHERE gruppe = '"&  clng(replace(request.querystring("gr")), "'", "~") &"' ORDER BY produkt, pot ASC"

eller måske bare sådan:

strsql = "SELECT * FROM udbud WHERE gruppe = '"&  replace(request.querystring("gr"), "'", "~") &"' ORDER BY produkt, pot ASC"

Da jeg mener at type casting i dette tilfælde ikke er nødvendig når "tallet" er omsluttet af '', men jeg er ikke sikker??

og med replace, så det vel rimelig sikret mod SQL Injections?!

at typecaste hjælper lidt på sikkerheden da input af en SQL-string ville gøre at koden fejlede - men ellers gør det ingen forskel her, dog skal der ikke ' omkring.

Replace er rigtig nok en måde mange forsøger at beskytte sig mod SQL injections ved men at replace med ~ giver ingen mening da man altid bør opbevare data som brugeren har skrevet dem ind, hvordan vil du ellers kunne se om brugeren har skrevet ' eller reelt et ~? Den rigtige måde er at bruge parametre.

Well, point taken, du har ret; jeg kan selvfølgelig ikke se om brugeren har skrevet ' eller ~ men et tal bør vel næppe indeholde en enkeltpling? Men hvis det er vigtigt at parse netop enkelplingen kunne det måske gøres som

strsql = "SELECT * FROM udbud WHERE gruppe = '"&  replace(request.querystring("gr"), "'", chr(39)) &"' ORDER BY produkt, pot ASC" ?

eller

strsql = "SELECT * FROM udbud WHERE gruppe = '"&  replace(request.querystring("gr"), "'", "'") &"' ORDER BY produkt, pot ASC" ?

Vil du forklare hvad du mener med "at bruge parametre"?

det jeg skriver - og som også var løsningen - var at input af tal og bogstaver er forskelligt;

...WHERE tal = " & request.querystring("tal") & "...

...WHERE tekst = '" & request.querystring("tekst") & "'...

Skal man endelig køre en replace bør det nok være

...WHERE tal = " & replace(request.querystring("tal"), "'", "''") & "...

Men som sagt så benyt parametre - det kan du læse om i linket i første kommentar.

Tak for svar - jeg lærer nyt hele tiden: Rigtig god artikel, men hvad betyder tallene, i parantesen:
Cmd.Parameters.Append(Cmd.CreateParameter("@username", 200, 1, 50))


Hvis det skal være et tal, som overføres, kan man så ikke også "sikre sig" på denne måde:

gr = request.querystring("gr")
If isNumeric(gr) Then
  strsql = "SELECT * FROM udbud WHERE gruppe = "&gr&"' ORDER BY produkt, pot ASC"
End If
?

http://www.w3schools.com/ado/met_comm_createparameter.asp

Jo, du vil sagtens kunne sikre dig på den måde men det vil stadig være uhensigtsmæssigt da du så også skal opfinde en måde at håndtere strings på. Sætter du dig ind i parametre og benytter dem konsekvent har du en ensartet måde at gøre tingene på uanset datatyper.

Takker også ...