noe noe, schau dir mal das xml objekt von ms an, da findest eine methode zum posten, oder asptear, was wir verwenden (weil besser und auch brav mit linux servern). da schick ich dir ganz andere dinge in deine seite, welche den post verarbeitet. und destruktive leute werden das wohl nie brav mit einem drop down machen, oder? :)
-----Original Message----- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of J�rg Schwalenberg Sent: Tuesday, March 04, 2003 1:06 PM To: [EMAIL PROTECTED] Subject: Re: [Asp.net] QuickInfo SP und Datareader Wenn die Bundesl�nder aus einem Drop kommen, sehe ich keine Sicherheitsbedenken. Das schlimmste was hier passieren kann ist, das mit einer Injection kein Record gefunden wird. MfG J. Schwalenberg ______________________ www.udex.de www.ultradevextensions.de [EMAIL PROTECTED] ______________________ Think big - UDEX Software ! Software & Extensions for Dreamweaver Ultradev & MX ----- Original Message ----- From: "Haffner Guenther" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Tuesday, March 04, 2003 12:56 PM Subject: RE: [Asp.net] QuickInfo SP und Datareader > hm, wie waers mit folgendem snippet: > > private SqlDataReader getCalenderWeekYear(int ID) > { > > SqlConnection myConnection; > myConnection = new > SqlConnection(System.Configuration.ConfigurationSettings.AppSettings["Su > rvConnString"]); > > SqlCommand mySqlcommand = new > SqlCommand("getLinkCalenderWeekYear",myConnection); > > mySqlcommand.CommandType=CommandType.StoredProcedure; > mySqlcommand.Parameters.Add( new > SqlParameter("@mandator", SqlDbType.Int ) ).Value = mandator; > mySqlcommand.Parameters.Add( new > SqlParameter("@id", SqlDbType.Int ) ).Value = ID; > > myConnection.Open(); > > SqlDataReader dr = > mySqlcommand.ExecuteReader(CommandBehavior.CloseConnection); > > return dr; > > } > > ist zwar c#, aber kannst sicher gleich mal auf vb umstellen, aber die > idee dahinter muesstest du erkennen. > > g. > > uebrigens: > > dein code hat ein kleines sicherheitsproblem. :) du solltest dir keine > sql befehle auf diese variante zusammenbauen, schon gar nicht wenn > Parameter von einem post stammt, denn da kann dir jemand was anderes > reinschicken. schau dir mal dazu folgendes an: > > http://www.aspheute.com/artikel/20011203.htm > > > > -----Original Message----- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] > On Behalf Of Christian Freund > Sent: Monday, March 03, 2003 11:47 PM > To: [EMAIL PROTECTED] > Subject: [Asp.net] QuickInfo SP und Datareader > > > Hallo zusammen ! > > Ich hab eine kurze Frage, da mir der Kopf schon raucht und ich noch > fertig werden mu�: Was mu� ich am folgenden Script �ndern, da� ich > anstelle des Scriptes eine SP mit Parameter verwenden kann. Die SP macht > das selbe wie das SQL-Statement. Ich mu� irgendwie das OleDB �ndern und > die SP mit Parameter aufrufen. Ich check es einfach nicht mehr. > > Dim strCon, strSQL > strCon = "Provider=SQLOLEDB; initial catalog=Portal;integrated > security=SSPI;persist security info=True;workstation id=NOTEBOOK;packet > size=4096" > strSQL = "SELECT * FROM tblAdressen WHERE Art='Reiterhof' AND > Bundesland='" & Parameter & "' ORDER BY Bundesland" > Dim CMD As OleDb.OleDbCommand > Dim DR As OleDb.OleDbDataReader > CMD = New OleDb.OleDbCommand() > CMD.Connection = New OleDb.OleDbConnection(strCon) > CMD.Connection.Open() > CMD.CommandText = strSQL > DR = CMD.ExecuteReader > > Vielen Dank von einem hoffnungslos �berm�deten Programmierer > > Christian > > > _______________________________________________ > Asp.net mailing list > [EMAIL PROTECTED] > http://www.glengamoi.com/mailman/listinfo/asp.net > > _______________________________________________ > Asp.net mailing list > [EMAIL PROTECTED] > http://www.glengamoi.com/mailman/listinfo/asp.net > _______________________________________________ Asp.net mailing list [EMAIL PROTECTED] http://www.glengamoi.com/mailman/listinfo/asp.net _______________________________________________ Asp.net mailing list [EMAIL PROTECTED] http://www.glengamoi.com/mailman/listinfo/asp.net
