Wenn die Bundesl�nder aus einem Drop kommen, sehe ich keine Sicherheitsbedenken. Das
schlimmste was hier passieren kann ist, das mit einer Injection kein Record gefunden
wird.
MfG
J. Schwalenberg
______________________
www.udex.de
www.ultradevextensions.de
[EMAIL PROTECTED]
______________________
Think big - UDEX Software !
Software & Extensions for Dreamweaver Ultradev & MX
----- Original Message -----
From: "Haffner Guenther" <[EMAIL PROTECTED]>
To: <[EMAIL PROTECTED]>
Sent: Tuesday, March 04, 2003 12:56 PM
Subject: RE: [Asp.net] QuickInfo SP und Datareader
> hm, wie waers mit folgendem snippet:
>
> private SqlDataReader getCalenderWeekYear(int ID)
> {
>
> SqlConnection myConnection;
> myConnection = new
> SqlConnection(System.Configuration.ConfigurationSettings.AppSettings["Su
> rvConnString"]);
>
> SqlCommand mySqlcommand = new
> SqlCommand("getLinkCalenderWeekYear",myConnection);
>
> mySqlcommand.CommandType=CommandType.StoredProcedure;
> mySqlcommand.Parameters.Add( new
> SqlParameter("@mandator", SqlDbType.Int ) ).Value = mandator;
> mySqlcommand.Parameters.Add( new
> SqlParameter("@id", SqlDbType.Int ) ).Value = ID;
>
> myConnection.Open();
>
> SqlDataReader dr =
> mySqlcommand.ExecuteReader(CommandBehavior.CloseConnection);
>
> return dr;
>
> }
>
> ist zwar c#, aber kannst sicher gleich mal auf vb umstellen, aber die
> idee dahinter muesstest du erkennen.
>
> g.
>
> uebrigens:
>
> dein code hat ein kleines sicherheitsproblem. :) du solltest dir keine
> sql befehle auf diese variante zusammenbauen, schon gar nicht wenn
> Parameter von einem post stammt, denn da kann dir jemand was anderes
> reinschicken. schau dir mal dazu folgendes an:
>
> http://www.aspheute.com/artikel/20011203.htm
>
>
>
> -----Original Message-----
> From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED]
> On Behalf Of Christian Freund
> Sent: Monday, March 03, 2003 11:47 PM
> To: [EMAIL PROTECTED]
> Subject: [Asp.net] QuickInfo SP und Datareader
>
>
> Hallo zusammen !
>
> Ich hab eine kurze Frage, da mir der Kopf schon raucht und ich noch
> fertig werden mu�: Was mu� ich am folgenden Script �ndern, da� ich
> anstelle des Scriptes eine SP mit Parameter verwenden kann. Die SP macht
> das selbe wie das SQL-Statement. Ich mu� irgendwie das OleDB �ndern und
> die SP mit Parameter aufrufen. Ich check es einfach nicht mehr.
>
> Dim strCon, strSQL
> strCon = "Provider=SQLOLEDB; initial catalog=Portal;integrated
> security=SSPI;persist security info=True;workstation id=NOTEBOOK;packet
> size=4096"
> strSQL = "SELECT * FROM tblAdressen WHERE Art='Reiterhof' AND
> Bundesland='" & Parameter & "' ORDER BY Bundesland"
> Dim CMD As OleDb.OleDbCommand
> Dim DR As OleDb.OleDbDataReader
> CMD = New OleDb.OleDbCommand()
> CMD.Connection = New OleDb.OleDbConnection(strCon)
> CMD.Connection.Open()
> CMD.CommandText = strSQL
> DR = CMD.ExecuteReader
>
> Vielen Dank von einem hoffnungslos �berm�deten Programmierer
>
> Christian
>
>
> _______________________________________________
> Asp.net mailing list
> [EMAIL PROTECTED]
> http://www.glengamoi.com/mailman/listinfo/asp.net
>
> _______________________________________________
> Asp.net mailing list
> [EMAIL PROTECTED]
> http://www.glengamoi.com/mailman/listinfo/asp.net
>
_______________________________________________
Asp.net mailing list
[EMAIL PROTECTED]
http://www.glengamoi.com/mailman/listinfo/asp.net
