Fetstil Fetstil Kursiv Understrykning linje färgläggning tabellverk Punktlista Nummerlista Vänster Centrerat högerställt Utfyllt Länk Bild htmlmode
  • Forum & Blog
    • Forum - översikt
      • .Net
        • asp.net generellt
        • c#
        • vb.net
        • f#
        • silverlight
        • microsoft surface
        • visual studio .net
      • databaser
        • sql-server
        • databaser
        • access
        • mysql
      • mjukvara klient
        • datorer och komponenter
        • nätverk, lan/wan
        • operativsystem
        • programvaror
        • säkerhet, inställningar
        • windows server
        • allmänt
        • crystal reports
        • exchange/outlook
        • microsoft office
      • mjukvara server
        • active directory
        • biztalk
        • exchange
        • linux
        • sharepoint
        • webbservers
        • sql server
      • appar (win/mobil)
      • programspråk
        • c++
        • delphi
        • java
        • quick basic
        • visual basic
      • scripting
        • asp 3.0
        • flash actionscript
        • html css
        • javascript
        • php
        • regular expresssion
        • xml
      • spel och grafik
        • DirectX
        • Spel och grafik
      • ledning
        • Arkitektur
        • Systemutveckling
        • krav och test
        • projektledning
        • ledningsfrågor
      • vb-sektioner
        • activeX
        • windows api
        • elektronik
        • internet
        • komponenter
        • nätverk
        • operativsystem
      • övriga forum
        • arbete karriär
        • erbjuda uppdrag och tjänster
        • juridiska frågor
        • köp och sälj
        • matematik och fysik
        • intern information
        • skrivklåda
        • webb-operatörer
    • Posta inlägg i forumet
    • Chatta med andra
  • Konto
    • Medlemssida
    • Byta lösenord
    • Bli bonsumedlem
    • iMail
  • Material
    • Tips & tricks
    • Artiklar
    • Programarkiv
  • JOBB
  • Student
    • Studentlicenser
  • KONTAKT
    • Om pellesoft
    • Grundare
    • Kontakta oss
    • Annonsering
    • Partners
    • Felanmälan
  • Logga in

Hem / Forum översikt / inlägg

Posta nytt inlägg


ersätta vilka tecken för sökning i DB?

Postades av 2002-12-03 13:38:19 - Jonas Boman, i forum asp - allmänt, Tråden har 3 Kommentarer och lästs av 498 personer

Jag har en text input för sökning av personnamn
har på "söksidan" gjort replace(request("namn"),"'","") samt replace(request("namn"),"%","")

Vilka fler tecken skall replacas för att säkerhetsställa att man inte kan ange ett sql-kommando (t ex. drop table ) och därmed förstöra i tabellen?

sql= "SELECT * from personer"

if request("namn") <> "" then
namn = request("namn")
namn = replace(namn, "'", " ")
namn = replace(namn, "&", " ") (edit)
namn = replace(namn, "%", " ")
sql = sql & "namn like '%" &namn & "%'"
end if

//standy


Svara

Sv: ersätta vilka tecken för sökning i DB?

Postades av 2002-12-04 00:44:19 - Raderat konto

för det första
släng in "namn" i en variabel på sidan
och för det andra
så lär inte din replace-kod funka så speciellt bra

testa detta:

dim strNamn
strNamn = request.form("namn")
sql= "SELECT * from personer"

if strNamn<> "" then
strNamn = replace(strNamn, "'", " ")
strNamn = replace(strNamn, "&", " ")
strNamn = replace(strNamn, "%", " ")
sql = sql & " WHERE namn like '%" & strNamn & "%'"
end if

i sådanna fall


Svara

Sv: ersätta vilka tecken för sökning i DB?

Postades av 2002-12-04 11:16:19 - Andreas Hillqvist

Jag tycker du går tillväga på fel sätt. Du gör det omöjligt att söka efter fält som innehåller '-tecknet.

SQL-Server:
<code>
Dim strSQL
Dim strWhere
Dim strNamn


If Len(Request("namn")) > 0 Then
strNamn = Request("namn")
strNamn = replace(strNamn, "'", "''")
strNamn = replace(strNamn, "%", "[%]")
strNamn = replace(strNamn, "_", "[_]")
strNamn = replace(strNamn, "[", "[[]")
strNamn = replace(strNamn, "]", "[]]")
strWhere = strWhere & " AND namn Like '%" &namn & "%'"
End if

If Len(strWhere) > 0 Then
strSQL = "SELECT * FROM personer WHERE " & Mid(strWhere, 6)
Else
strSQL = "SELECT * FROM personer"
End If
</code>

Access:
<code>
Dim strSQL
Dim strWhere
Dim strNamn


If Len(Request("namn")) > 0 Then
strNamn = Request("namn")
strNamn = replace(strNamn, "'", "''")
strNamn = replace(strNamn, "*", "[*]")
strNamn = replace(strNamn, "?", "[?]")
strNamn = replace(strNamn, "[", "[[]")
strNamn = replace(strNamn, "]", "[]]")
strWhere = strWhere & " AND namn Like '*" &namn & "*'"
End if

If Len(strWhere) > 0 Then
strSQL = "SELECT * FROM personer WHERE " & Mid(strWhere, 6)
Else
strSQL = "SELECT * FROM personer"
End If

</code>


Svara

Sv: ersätta vilka tecken för sökning i DB?

Postades av 2002-12-10 11:52:01 - Jonas Boman

man skall ju inte kunna söka på annat än bokstäver pga det är ett namn man söker efter.
Gjorde en grej i javascript som inte funkade man nu gör det det!

Tack


Svara

Nyligen

  • 12:49 Har någon erfarenhet av ett bra sy
  • 12:27 Hur vet man vad som är värt och va
  • 12:22 Vad har ni för erfarenheter och ti
  • 15:32 Ruttoptimering för förare
  • 15:32 Några tips om hur man väljer det s
  • 14:53 Har någon här erfarenhet av att an
  • 14:36 Någon som har erfarenhet och kan g
  • 17:41 Har någon av er erfarenhet av att

Sidor

  • Hem
  • Bli bonusmedlem
  • Läs artiklar
  • Chatta med andra
  • Sök och erbjud jobb
  • Kontakta oss
  • Studentlicenser
  • Skriv en artikel

Statistik

Antal besökare:
Antal medlemmar:
Antal inlägg:
Online:
På chatten:
4 556 935
27 926
260 275
628 358
0

Kontakta oss

Frågor runt konsultation, rådgivning, uppdrag, rekrytering, annonsering och övriga ärenden. Ring: 0730-88 22 24 | pelle@pellesoft.se

© 1986-2013 PelleSoft AB. Last Build 4.1.7169.18070 (2019-08-18 10:02:21) 4.0.30319.42000
  • Om
  • Kontakta
  • Regler
  • Cookies