Recupére Rrequest.querystring dans une chaine sql
ThePooh
Messages postés
9
Date d'inscription
jeudi 18 décembre 2003
Statut
Membre
Dernière intervention
13 janvier 2006
-
29 déc. 2004 à 11:51
ThePooh Messages postés 9 Date d'inscription jeudi 18 décembre 2003 Statut Membre Dernière intervention 13 janvier 2006 - 29 déc. 2004 à 12:23
ThePooh Messages postés 9 Date d'inscription jeudi 18 décembre 2003 Statut Membre Dernière intervention 13 janvier 2006 - 29 déc. 2004 à 12:23
A voir également:
- Recupére Rrequest.querystring dans une chaine sql
- Parcourir une chaine de caractère en python - Forum Python
- Vba longueur chaine ✓ - Forum VB.NET
- Sql recuperer dernier enregistrement - Forum SQL
- Sql ajouter une colonne dans un select - Forum SQL
- Foreach sql - Forum SQL
2 réponses
jesusonline
Messages postés
6814
Date d'inscription
dimanche 15 décembre 2002
Statut
Membre
Dernière intervention
13 octobre 2010
29
29 déc. 2004 à 12:20
29 déc. 2004 à 12:20
Je te deconseil cette méthode
j'ai été au devdays 2004 et il y avait justement une demo la dessus, et c'est bluffant suffit qu'on mette un querystring marrant, et hop la fonction sql est completement modifié, et c'est un enorme trou de securité, si tu utilises cette méthode verifie bien ton querystring.
Sinon pour faire ce que tu veux c'est assez simple :
dim sql as string = "select * from Articles Where ID=" & ctype(request.querystring("ID"))
la ca pose pas de problème de sécurité car c'est un integer, et si le querystring n'est pas bon, il va avoir une erreur mais quand c'est des strings avec des espaces genre
dim sql as string = "select * from Articles Where Title LIKE '" & ctype(request.querystring("Title")) & "'"
suffit de passer en querystring
title=goodbye'; tacommande 'truc
la requete sql va etre select & from articles where title like 'goodbye'; ta commande 'truc'
donc je te conseil de passer par les procédures stockés, il existe de nombreux articles la dessus
Cyril
j'ai été au devdays 2004 et il y avait justement une demo la dessus, et c'est bluffant suffit qu'on mette un querystring marrant, et hop la fonction sql est completement modifié, et c'est un enorme trou de securité, si tu utilises cette méthode verifie bien ton querystring.
Sinon pour faire ce que tu veux c'est assez simple :
dim sql as string = "select * from Articles Where ID=" & ctype(request.querystring("ID"))
la ca pose pas de problème de sécurité car c'est un integer, et si le querystring n'est pas bon, il va avoir une erreur mais quand c'est des strings avec des espaces genre
dim sql as string = "select * from Articles Where Title LIKE '" & ctype(request.querystring("Title")) & "'"
suffit de passer en querystring
title=goodbye'; tacommande 'truc
la requete sql va etre select & from articles where title like 'goodbye'; ta commande 'truc'
donc je te conseil de passer par les procédures stockés, il existe de nombreux articles la dessus
Cyril
ThePooh
Messages postés
9
Date d'inscription
jeudi 18 décembre 2003
Statut
Membre
Dernière intervention
13 janvier 2006
29 déc. 2004 à 12:23
29 déc. 2004 à 12:23
Merci pour ta réponse
