AW: [Asp.net] Daten aus DataGrid TextBox lesen

Tue, 27 Dec 2005 03:05:07 -0800 

Hallo

über SQL Injection mache ich mir grad keine Gedanken
a) Firmenintern, b) muss es erstmal so laufen, dann wird gefiltert

zu Postback:

meinst du die EventHandler? die sind alle zugewiesen

this.DataGrid1.UpdateCommand += new
System.Web.UI.WebControls.DataGridCommandEventHandler(this.SaveLocation);


public void EditLocation(object sender, DataGridCommandEventArgs e)
                {
                        this.Session["EditedLocation"] =
e.Item.Cells[0].Text;
                        DataGrid1.EditItemIndex = e.Item.ItemIndex;
// Zeilen in den Edit mode
                        BindData();
                }

public void SaveLocation(object sender, DataGridCommandEventArgs e)
                {
                        string editedLocation =
(string)this.Session["EditedLocation"];                         //
Ürsprüngliche LocationID aus der Session

                        string location =
((TextBox)e.Item.Cells[0].Controls[0]).Text;
                        string description =
((TextBox)e.Item.Cells[1].Controls[0]).Text;
                        
                        string sqlUpdate = "UPDATE location SET
locationid='"+location+"', description='"+description+"' WHERE
locationid='"+editedLocation+"'";
                        
                        this.sqlConnection1.Open();
                        this.sqlUpdateCommand1.CommandText = sqlUpdate;
                        this.sqlUpdateCommand1.ExecuteNonQuery();
                        this.sqlConnection1.Close();

                        this.sqlDataAdapter1.Fill(this.dataSetLocations1);
                        this.DataGrid1.EditItemIndex = -1;
                        DataGrid1.DataBind();
                        BindData();

                }


-----Ursprüngliche Nachricht-----
Von: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Im
Auftrag von Reinhold Becker
Gesendet: Dienstag, 27. Dezember 2005 11:42
An: asp.net@glengamoi.com
Betreff: AW: [Asp.net] Daten aus DataGrid TextBox lesen

1: Böses Foul! 
> string sqlUpdate = "UPDATE location SET locationid='"+location+"', 
> description='"+description+"'
> WHERE locationid='"+editedLocation+"'";

SQLInjection vom Feinsten!!!!!! Schau mal auf aspheute.com nach.

2: Hast Du auf Postback geprüft?


Gruß,
Reinhold


_______________________________________________
Asp.net Mailingliste, Postings senden an:
Asp.net@glengamoi.com
An-/Abmeldung und Suchfunktion unter:
http://www.glengamoi.com/mailman/listinfo/asp.net

_______________________________________________
Asp.net Mailingliste, Postings senden an:
Asp.net@glengamoi.com
An-/Abmeldung und Suchfunktion unter:
http://www.glengamoi.com/mailman/listinfo/asp.net

Antwort per Email an