steht im artikel den ich angefuehrt habe. kann ich nur empfehlen. ausserdem wuerde ich intensiv mit stored procedures arbeiten. gerade wenn man jetzt .net macht und compiliert ist das fein, weil die aenderung von einer sortierung, oder eine spalte mehr usw. nicht mehr neucompilieren heisst, sondern sproc aendern und das wars. :) sicherer sollte das ganze auch sein.
-----Original Message----- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of J�rg Schwalenberg Sent: Tuesday, March 04, 2003 1:25 PM To: [EMAIL PROTECTED] Subject: Re: [Asp.net] QuickInfo SP und Datareader Ok, was w�re denn dann die bessere Methode ? MfG J. Schwalenberg ______________________ www.udex.de www.ultradevextensions.de [EMAIL PROTECTED] ______________________ Think big - UDEX Software ! Software & Extensions for Dreamweaver Ultradev & MX ----- Original Message ----- From: "Haffner Guenther" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Tuesday, March 04, 2003 1:14 PM Subject: RE: [Asp.net] QuickInfo SP und Datareader > noe noe, schau dir mal das xml objekt von ms an, da findest eine methode > zum posten, oder asptear, was wir verwenden (weil besser und auch brav > mit linux servern). da schick ich dir ganz andere dinge in deine seite, > welche den post verarbeitet. und destruktive leute werden das wohl nie > brav mit einem drop down machen, oder? :) > > -----Original Message----- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] > On Behalf Of J�rg Schwalenberg > Sent: Tuesday, March 04, 2003 1:06 PM > To: [EMAIL PROTECTED] > Subject: Re: [Asp.net] QuickInfo SP und Datareader > > > Wenn die Bundesl�nder aus einem Drop kommen, sehe ich keine > Sicherheitsbedenken. Das schlimmste was hier passieren kann ist, das mit > einer Injection kein Record gefunden wird. > > MfG > J. Schwalenberg > ______________________ > www.udex.de > www.ultradevextensions.de > [EMAIL PROTECTED] > ______________________ > Think big - UDEX Software ! > Software & Extensions for Dreamweaver Ultradev & MX > ----- Original Message ----- > From: "Haffner Guenther" <[EMAIL PROTECTED]> > To: <[EMAIL PROTECTED]> > Sent: Tuesday, March 04, 2003 12:56 PM > Subject: RE: [Asp.net] QuickInfo SP und Datareader > > > > hm, wie waers mit folgendem snippet: > > > > private SqlDataReader getCalenderWeekYear(int ID) > > { > > > > SqlConnection myConnection; > > myConnection = new > > > SqlConnection(System.Configuration.ConfigurationSettings.AppSettings["Su > > rvConnString"]); > > > > SqlCommand mySqlcommand = new > > SqlCommand("getLinkCalenderWeekYear",myConnection); > > > > mySqlcommand.CommandType=CommandType.StoredProcedure; > > mySqlcommand.Parameters.Add( new > > SqlParameter("@mandator", SqlDbType.Int ) ).Value = mandator; > > mySqlcommand.Parameters.Add( new > > SqlParameter("@id", SqlDbType.Int ) ).Value = ID; > > > > myConnection.Open(); > > > > SqlDataReader dr = > > mySqlcommand.ExecuteReader(CommandBehavior.CloseConnection); > > > > return dr; > > > > } > > > > ist zwar c#, aber kannst sicher gleich mal auf vb umstellen, aber die > > idee dahinter muesstest du erkennen. > > > > g. > > > > uebrigens: > > > > dein code hat ein kleines sicherheitsproblem. :) du solltest dir keine > > sql befehle auf diese variante zusammenbauen, schon gar nicht wenn > > Parameter von einem post stammt, denn da kann dir jemand was anderes > > reinschicken. schau dir mal dazu folgendes an: > > > > http://www.aspheute.com/artikel/20011203.htm > > > > > > > > -----Original Message----- > > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] > > On Behalf Of Christian Freund > > Sent: Monday, March 03, 2003 11:47 PM > > To: [EMAIL PROTECTED] > > Subject: [Asp.net] QuickInfo SP und Datareader > > > > > > Hallo zusammen ! > > > > Ich hab eine kurze Frage, da mir der Kopf schon raucht und ich noch > > fertig werden mu�: Was mu� ich am folgenden Script �ndern, da� ich > > anstelle des Scriptes eine SP mit Parameter verwenden kann. Die SP > macht > > das selbe wie das SQL-Statement. Ich mu� irgendwie das OleDB �ndern > und > > die SP mit Parameter aufrufen. Ich check es einfach nicht mehr. > > > > Dim strCon, strSQL > > strCon = "Provider=SQLOLEDB; initial catalog=Portal;integrated > > security=SSPI;persist security info=True;workstation > id=NOTEBOOK;packet > > size=4096" > > strSQL = "SELECT * FROM tblAdressen WHERE Art='Reiterhof' AND > > Bundesland='" & Parameter & "' ORDER BY Bundesland" > > Dim CMD As OleDb.OleDbCommand > > Dim DR As OleDb.OleDbDataReader > > CMD = New OleDb.OleDbCommand() > > CMD.Connection = New OleDb.OleDbConnection(strCon) > > CMD.Connection.Open() > > CMD.CommandText = strSQL > > DR = CMD.ExecuteReader > > > > Vielen Dank von einem hoffnungslos �berm�deten Programmierer > > > > Christian > > > > > > _______________________________________________ > > Asp.net mailing list > > [EMAIL PROTECTED] > > http://www.glengamoi.com/mailman/listinfo/asp.net > > > > _______________________________________________ > > Asp.net mailing list > > [EMAIL PROTECTED] > > http://www.glengamoi.com/mailman/listinfo/asp.net > > > > _______________________________________________ > Asp.net mailing list > [EMAIL PROTECTED] > http://www.glengamoi.com/mailman/listinfo/asp.net > > _______________________________________________ > Asp.net mailing list > [EMAIL PROTECTED] > http://www.glengamoi.com/mailman/listinfo/asp.net > _______________________________________________ Asp.net mailing list [EMAIL PROTECTED] http://www.glengamoi.com/mailman/listinfo/asp.net _______________________________________________ Asp.net mailing list [EMAIL PROTECTED] http://www.glengamoi.com/mailman/listinfo/asp.net
