[ASP.net] probleemke :(

flt · 12 maa 2006, 18:16

Mijn bedoeling is om een pagina te maken die een bepaald stukje uit de URL haalt namelijk "product=x". Met die x wil ik dan de gegevens van het product uit de database halen.
Nu als ik in mij code mijn productnr=2 verander, dan werkt het.
Vraag ik welke x er in de url staat, dan vindt ie die ook.

Mijn enigste probleem is nu hoe ik "productnr=x" in mijn code kan krijgen

.

Code: Selecteer alles

...WHERE productnr=Request.QueryString("product")

werkt dus niet!
Zou iemand mij hier kunnen helpen.

Code: Selecteer alles

<%@ Import Namespace="System.Data.OleDb" %>


 <script runat="server">
     Dim DBConnection As OleDbConnection
     Dim DBCommand As OleDbCommand
     Dim DBReader As OleDbDataReader
     Dim test As String
     Dim sqlstring As String
     
     Sub Page_Load()
         test = Request.QueryString("product")
           
         If Not Page.IsPostBack Then
             
             DBConnection = New OleDbConnection("Provider=Microsoft.Jet.OLEDB.4.0;" & "Data Source=c:\...\...\database.mdb")
             DBConnection.Open()
             
             sqlstring = "SELECT * FROM tblProducten " & _
                                             "WHERE Productnr = '" & test & "'"
                 
             DBCommand = New OleDbCommand(SQLString, DBConnection)
             DBReader = DBCommand.ExecuteReader()
             Productentabel.DataSource = DBReader
             Productentabel.DataBind()
             DBReader.Close()
             DBConnection.Close()
         End If
     End Sub
     </script>

EDPnet · 12 maa 2006, 19:33

Als productnr een numeriek veld in de database is dan mag je geen enkele quotes ( ' ) gebruiken. Maw : ... productnr = " & test ipv ... productnr = '" & test & "'"

Deze manier van programmeren laat ook 'SQL injection' toe en daardoor kan uw oplossing heel makkelijk gehacked worden ! Meer info op bv. http://www.securiteam.com/securityreviews/5DP0N1P76E.html

PowerSoft · 12 maa 2006, 19:56

idd, je werkt beter met oledbparameter objecten om je parameters in je sql code toe te voegen

flt · 12 maa 2006, 20:00

EDPNet amai echt dikke merci, hier heb ik dus een kleine 2u op zitten zoeken! (en dus nix gevonden, is nogal typisch voor mij

)

Of het gemakkelijk te hacken is of niet maakt mij eigelijk (nu nog) niets uit. Het is een project voor school en zolang het werkt is het al goed

.

EDIT : op school krijgen we werkelijk nix van info over asp.net (wel al vb.net gezien). Dus alles opzoeken in tutorials is wel moeilijk.

PowerSoft · 12 maa 2006, 20:01

flt schreef:EDPNet amai echt dikke merci, hier heb ik dus een kleine 2u op zitten zoeken! (en dus nix gevonden, is nogal typisch voor mij )

Of het gemakkelijk te hacken is of niet maakt mij eigelijk (nu nog) niets uit. Het is een project voor school en zolang het werkt is het al goed .

slechte ingesteldheid

moest ik je docent zijn ik zou je er op wijzen

Weetgraag · 12 maa 2006, 20:08

PowerSoft schreef:
flt schreef:EDPNet amai echt dikke merci, hier heb ik dus een kleine 2u op zitten zoeken! (en dus nix gevonden, is nogal typisch voor mij )

Of het gemakkelijk te hacken is of niet maakt mij eigelijk (nu nog) niets uit. Het is een project voor school en zolang het werkt is het al goed .

slechte ingesteldheid moest ik je docent zijn ik zou je er op wijzen

Zou ik ook doen, bij een cursus (Digicom) die ik volgde in 2000 met asp en SQLdb was het eerste wat we leerden het veiligheidsaspect.

greetz
Weetgraag :wink:

flt · 12 maa 2006, 20:11

Een goede duidelijke cursus zouden wij ook wel kunnen gebruiken

.
Voor ons is er echter gewoon te weinig tijd om eerst alles aan te leren (via tutorials dus), en dan nog eens een deftig geprogrammeerde site te maken.

Weetgraag · 12 maa 2006, 20:14

Cursusboeken
http://www.wrox.com

duur maar goed en duidelijk

greetz
Weetgraag :wink: