jesusonline
Messages postés6814Date d'inscriptiondimanche 15 décembre 2002StatutMembreDernière intervention13 octobre 201029 29 déc. 2004 à 12:20
Je te deconseil cette méthode
j'ai été au devdays 2004 et il y avait justement une demo la dessus, et c'est bluffant suffit qu'on mette un querystring marrant, et hop la fonction sql est completement modifié, et c'est un enorme trou de securité, si tu utilises cette méthode verifie bien ton querystring.
Sinon pour faire ce que tu veux c'est assez simple :
dim sql as string = "select * from Articles Where ID=" & ctype(request.querystring("ID"))
la ca pose pas de problème de sécurité car c'est un integer, et si le querystring n'est pas bon, il va avoir une erreur mais quand c'est des strings avec des espaces genre
dim sql as string = "select * from Articles Where Title LIKE '" & ctype(request.querystring("Title")) & "'"
suffit de passer en querystring
title=goodbye'; tacommande 'truc
la requete sql va etre select & from articles where title like 'goodbye'; ta commande 'truc'
donc je te conseil de passer par les procédures stockés, il existe de nombreux articles la dessus