---

Hi,

Jeg sidder med et irriterende problem... Vha. SAFileUp uploades objekter til
en Access database og på min asp-side (kale.asp) genereres der et link til
filen, og det virker også fint - men kun med billeder (gif/jpg). Når jeg
uploader andet end gif/jpg og klikker på linket bliver man spurgt om man vil
downloade selve asp-filen, dvs. kale.asp. Koderne der genererer linket ser
således ud:

intID = Request.QueryString("id")
If Request.QueryString("mode") = "show" Then
' Denne kode fremviser den ønskede fil
strSQL = "SELECT file_type, file_data FROM ctblInfo_Kalender WHERE (UI = "
& intID & ");"
Set rs = myConn.Execute(strSQL)
If Not rs.EOF Then
Response.ContentType = rs("file_type")
Response.BinaryWrite rs("file_data")
End If

Og linket fra kale.asp ser således ud

Response.Write "Se mere: <a href=""kale.asp?id=" & objRSk("UI") &
"&amp;mode=show"">" & objRSk("file_name") & "</a>"

Hvorfor går det galt ved andet end gif/jpg?

--
Med venlig hilsen
Lars Klingenberg
[lklingenberg@lknet.dk]

---

Lars Klingenberg wrote:

> intID = Request.QueryString("id")
> ...
> strSQL = "SELECT file_type, file_data FROM ctblInfo_Kalender WHERE (UI = "
> & intID & ");"

Du overfører parametre fra QueryString direkte til SQL-kaldet - det er et
åbent sikkerhedshul.

> Response.ContentType = rs("file_type")
> ...
> Hvorfor går det galt ved andet end gif/jpg?

Hvad indeholder "file_type" i de tilfælde, hvor det "går galt"?

M.v.h.

Jonathan

--
Start med PHP, Perl eller JSP uden at omskrive al din gamle ASP-kode.
jsp-hotel.dk tilbyder nu Chili!Soft ASP på alle hoteller.
http://www.jsp-hotel.dk/

---

"Jonathan Stein" <jstein@image.dk> wrote

> Du overfører parametre fra QueryString direkte til SQL-kaldet - det er et
> åbent sikkerhedshul.

Du taler kun om sikkerhedshuller, Hr. Stein.... )
måske det var muligt at få en FAQ (som den anden fine webhotel du har lavet)
eller lidt links - jeg tør faktisk snart ikke engang sætte fingerne på tastaturet mere.
Claus