30. juni 2014 - 16:30Der er
14 kommentarer og 1 løsning
Friendly URL med IIS
Hej. Jeg har læst mig frem til at man kan skabe en friendly url via. iis Rewrite URL. Jeg har forsøgt i timevis og fulgt adskillige guides - men hver gang er der noget, der ikke stemmer overens.
Jeg vil gerne gå fra fil.asp?id=522 til domain.dk/emne-placeres-her
Jeg har forsøgt følgende: Oprette en rule i IIS, men her kan jeg kun få den til at lave linket således: domain.dk/fil/id
altså vil linket direkte være: domain.dk/fil/522
fil.asp finder id'et i databasen og udskriver elementer tilhørende, hvor der også er et emne. Emnet skal være i adressebaren, men den vil og kan kun tage fat i ID'et, som skrevet foroven
Nogen der har en god guide liggende, som beskriver det? Og det er ASP og ikke .net :-)
Men på intet tidspunkt kan jeg læse mig til, at den ændrer URL'en til det emne, man er klikket ind under? Man skal jo også definere urlen på hovedsiden og ændre den fra fil.asp?id=522 til den nye url - det beskrives der ikke hvordan man gør.
Jeg tænker jo at jeg bare opretter et nyt punkt i mysql og så finder den automatisk frem til et link, som er det jeg skriver som 'emne'. Altså "Hej: Dette er emnet" bliver til "hej-dette-er-emnet" - og når man trykker på dét link, så kommer man ind på den tilhørende side.
Hvis du vil omskrive din gammeldags URL til noget andet kan fx du smide den ind igennem en function, der ud fra dit id beregner hvad du har behov for - men det er der umiddelbart ingen grund til, du skal jo bare skrive URL'en som du reelt vil have den, fx
Korrekt - der er ingen egentlig querystring med fx et id, men du har vil også hvad du har behov for at parametre i din URL, nemlig "et-eller-andet-link".
det lyder for mig som om du slet ikke har forsøgt bare en lille smule?
Du kan ikke bruge id til noget såfremt den ikke må fremgå fx som en querystring så glemt alt om det - du er derfor nødt til at have et andet kendemærke og det er i tutorialen en kolonne hvori urlname er gemt. Dette urlname benytter du til at lave dine URLs med (som angivet i #3) - når du så laver dit setup som i tutorialen vil du via Request.ServerVariables kunne aflæse de nødvendige informationer og benytte dem til at lave dit opslag i databasen. Altså, din URL bliver pæn og helt som ønsket mens du stadig har informationer til at hente nødvendige data.
Jeg tror vi er gået forbi hinanden. Jeg 'nærstuderede' lige det link du sendte mig. Her skriver den;
SQL = "SELECT id, realname, urlname, description FROM categories...
Så ifølge dét script, så skal man SELV skrive det brugervenlige URL når man opretter en post? Scriptet går altså ikke selv ind og omskriver emnet så linket bliver med bindestreg mellem hvert ord m.v.?
Er det den optimale måde, at gøre det på? Jeg kender ikke meget til det - men jeg gik ud fra, at 'systemet' selv kunne finde frem til link-urlen udfra det emne, man skriver ind i databasen.
Der er ikke noget endeligt facit på hvordan sådan en opgave skal løses - men du er i hvert fald nødt til at gøre noget alternativt i forhold til hvad du plejer eller også må du nøjes.
Du kan fx lave din URL som /din-sides-titel/4837 eller /4837-din-sides-titel så du alligevel har dit id med i url'en eller du kan nøjes med en titel-kolonne i databasen du urlencoder og også benytter til at sammenligne med. Men hvis du slet ingen informationer har om sammenhængen mellem hvad der på den ene eller anden måde står i din URL og så informationerne i databasen når du ingen vegne - det er jo blandt andet derfor du i din gamle model havde en id-kolonne.
Det smarte ved urlname, som i artiklen, er, at du får mulighed for at gøre kolonnen unik på samme måde som en id-kolonne - du kan sagtens have flere bøger, cykler, artikler eller whatever, der hedder, og skal hedde, det samme men det kan du ikke styre hvis du ikke har noget unikt at sammenligne med medmindre altså du på den ene eller anden måde fletter id ind i din url.
Jeg fik det til at fungere. Uden alt det med 404.asp-fejlsiden. Men nu frygter jeg at det er åben for SQL-injections.
På den ene side kan jeg kalde ASP-filen (der viser indhold) nøjagtigt hvad jeg vil, uden brugeren kan se det. På den måde kan de jo under ingen omstændigheder rode med URL'en, korrekt? Linket er jo domain.dk/et-eller-andet. Altså ingen ASP-fil er synlig.
Kan man ikke kun gå ind og lege med SQL'en såfremt man kender navnet på filen?
Hvis bare du arbejder med parametre er du ikke åben over for SQL injection. Det bør du gøre under alle omstændigheder da SQL injection ikke kun har noget med URL'en at gøre.
Jeg ved godt du allerede har besvaret det spørgsmålet egentlig omhandlede (tak!) men nu kom jeg pludselig i tvivl omkring din seneste besked.
"Hvis bare du arbejder med parametre er du ikke åben over for SQL injection"
Er det ikke omvendt?
Såfremt jeg på min landingsside trækker data med request.querystring så er det jo pærelet at gå ind og ændre denne?
F.eks klikker man på linket: fil.asp?adgang=nej
Så kan brugeren jo klikke sig ind, og derefter ændre nej til ja, og på den måde har man ændret i det? (Jeg ved godt det er et håbløst eksempel af dimensioner, men jeg pointerer bare, at det da meget åbent for sql injections med requestr.querstring?)
SQL injection handler ikke om at ændre et ja til et nej og så få vist nogle andre data - det handler om at manipulere med den bagvedliggende SQL til at gøre noget andet end det den er tiltænkt, fx slette data. Alt hvad du udstiller gennem din URL vil selvfølgelig være mulig at ændre så det må du under ingen omstændigheder bruge til at styre fx sikkerhed og det gælder uanset om du benytter URL rewrite eller querystrings.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
Det er blevet kaldt ”det største it-nedbrud i historien” og omkostningerne kan nemt løbe op i syv milliarder kroner: Men hvem skal betale for Crowdstrikes fejl?
