/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
ASP til at hente en side
Fra : Lars Klingenberg


Dato : 15-03-01 08:54

Hi,

Jeg postede for et par uger siden en forespørgsel ang. ASP i include, og det
blev klart for mig at det kunne man ikke. Derimod blev jeg foreslået at
anvende ASP til at hente en side:

<%Server.Execute(engivenside.html)%>

Mit problem er at jeg ikke vil hente en bestemt side. Siden skulle gerne
"kaldes" fra en anden side, hvor følgende er linket:
<a href="../includes/skal_text.asp?filnavn=<%Response.Write CurrentFile%>">

hvor CurrentFile er defineret som:
<%
CurrentFile = LCase(Right(Request.ServerVariables("SCRIPT_NAME"),
Len(Request.ServerVariables("SCRIPT_NAME")) -
InStrRev(Request.ServerVariables("SCRIPT_NAME"), "/")))
%>

Jeg håbede så, at man kunne indsætte dette udtryk ("filnavn") i min
Server.Execute(), men det volder mig lidt problemer. Jeg har prøvet med:

<%Server.Execute(Request.Querystring("filnavn"))%>

og

<%Server.Execute(Response.Write Request.Querystring("filnavn"))%>

men der er ikke rigtigt noget der virker.

Er der nogen der forslag til hvordan man kan løse dette - hvis det i det
hele taget er muligt...
--
Med venlig hilsen
Lars Klingenberg
[lklingenberg@ifi.ku.dk]




 
 
Jonathan Stein (15-03-2001)
Kommentar
Fra : Jonathan Stein


Dato : 15-03-01 15:17

Lars Klingenberg wrote:

> <%Server.Execute(Request.Querystring("filnavn"))%>

Den ser rigtig ud (og farlig - kan misbruges, hvis du ikke kører noget check
på filnavnet). Prøv at indsætte:
<%=Request.Querystring("filnavn")%>
inden du kalder Server.Execute. Hvordan ser det ud?

M.v.h.

Jonathan





Lars Klingenberg (15-03-2001)
Kommentar
Fra : Lars Klingenberg


Dato : 15-03-01 17:03

> (og farlig - kan misbruges, hvis du ikke kører noget check på filnavnet).
Hvordan farlig? Hvem kan misbruge den?

> Prøv at indsætte:
> <%=Request.Querystring("filnavn")%>
> inden du kalder Server.Execute. Hvordan ser det ud?
Hvad skal jeg så putte ind i Server.Execute(...) parentesen?
--
Med venlig hilsen
Lars Klingenberg
[lklingenberg@ifi.ku.dk]




N/A (17-03-2001)
Kommentar
Fra : N/A


Dato : 17-03-01 15:00



N/A (17-03-2001)
Kommentar
Fra : N/A


Dato : 17-03-01 15:00



N/A (17-03-2001)
Kommentar
Fra : N/A


Dato : 17-03-01 15:00



N/A (17-03-2001)
Kommentar
Fra : N/A


Dato : 17-03-01 15:00



N/A (17-03-2001)
Kommentar
Fra : N/A


Dato : 17-03-01 15:00



N/A (17-03-2001)
Kommentar
Fra : N/A


Dato : 17-03-01 15:00



N/A (17-03-2001)
Kommentar
Fra : N/A


Dato : 17-03-01 15:00



Lars Klingenberg (17-03-2001)
Kommentar
Fra : Lars Klingenberg


Dato : 17-03-01 15:00

> - Så kan det være objekt-typen, der går galt. Prøv evt.:
> Server.Execute("" & Request.Querystring("filnavn"))
YES! YES! YES! Det virker! Hvad skulle indsættelsen af "" bevirke? Ja, den
indsætter ingenting foran filnavnet, men jeg kan ikke se hvorfor det
virker???

Tusind TAK for hjælpen både til dig og Jakob!

/Lars



Jonathan Stein (17-03-2001)
Kommentar
Fra : Jonathan Stein


Dato : 17-03-01 17:52

Lars Klingenberg wrote:

> > - Så kan det være objekt-typen, der går galt. Prøv evt.:
> > Server.Execute("" & Request.Querystring("filnavn"))
> YES! YES! YES! Det virker! Hvad skulle indsættelsen af "" bevirke? Ja, den
> indsætter ingenting foran filnavnet, men jeg kan ikke se hvorfor det
> virker???

"" gør, at den starter med en tom streng - og lægger indholdet af
Request.Querystring til strengen, men stadig er det en streng, der overføres
til funktionen. Request.Querystring alene returnerer en anden objekt-type, og
når den står alene, bliver den ikke konverteret til en streng, som
Server.Execute åbenbart har det bedst med.

M.v.h.

Jonathan





N/A (18-03-2001)
Kommentar
Fra : N/A


Dato : 18-03-01 13:32



Jacob Blichfeldt (18-03-2001)
Kommentar
Fra : Jacob Blichfeldt


Dato : 18-03-01 13:32

On Thu, 15 Mar 2001 20:47:21 GMT, Jonathan Stein
<jstein@image.dk> wrote:

>Lars Klingenberg wrote:
>
>> > Feks kan jeg requeste din side med:
>> > http://www.dinside.dk/dinaspside.asp?filnavn=nogetfarligt.fil
>> >
>> > Jeg tror det er begrænset hvad skade det kan forårsagde men alligevel...
>>
>> De sider, der skal requestes er alle sider der skal være tilgængelige, så
>> problemet er ikke så stort.
>
> Det er mere et problem, hvis brugeren requester en fil, der ikke skulle have
>været tilgængelig. Brugeren kan jo skrive hvad som helst efter "?filnavn=...".

F.eks.
http://www.dinside.dk/dinaspside.asp?filnavn=dinaspside.asp ...

--
-Jacob Blichfeldt
jacob@blichfeldt.dk
http://www.blichfeldt.dk

Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408878
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste