/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
Link til andet end billeder
Fra : Lars Klingenberg


Dato : 02-12-01 17:42

Hi,

Jeg sidder med et irriterende problem... Vha. SAFileUp uploades objekter til
en Access database og på min asp-side (kale.asp) genereres der et link til
filen, og det virker også fint - men kun med billeder (gif/jpg). Når jeg
uploader andet end gif/jpg og klikker på linket bliver man spurgt om man vil
downloade selve asp-filen, dvs. kale.asp. Koderne der genererer linket ser
således ud:

intID = Request.QueryString("id")
If Request.QueryString("mode") = "show" Then
' Denne kode fremviser den ønskede fil
strSQL = "SELECT file_type, file_data FROM ctblInfo_Kalender WHERE (UI = "
& intID & ");"
Set rs = myConn.Execute(strSQL)
If Not rs.EOF Then
Response.ContentType = rs("file_type")
Response.BinaryWrite rs("file_data")
End If

Og linket fra kale.asp ser således ud

Response.Write "Se mere: <a href=""kale.asp?id=" & objRSk("UI") &
"&amp;mode=show"">" & objRSk("file_name") & "</a>"

Hvorfor går det galt ved andet end gif/jpg?

--
Med venlig hilsen
Lars Klingenberg
[lklingenberg@lknet.dk]



 
 
Jonathan Stein (02-12-2001)
Kommentar
Fra : Jonathan Stein


Dato : 02-12-01 20:45

Lars Klingenberg wrote:

> intID = Request.QueryString("id")
> ...
> strSQL = "SELECT file_type, file_data FROM ctblInfo_Kalender WHERE (UI = "
> & intID & ");"

Du overfører parametre fra QueryString direkte til SQL-kaldet - det er et
åbent sikkerhedshul.

> Response.ContentType = rs("file_type")
> ...
> Hvorfor går det galt ved andet end gif/jpg?

Hvad indeholder "file_type" i de tilfælde, hvor det "går galt"?

M.v.h.

Jonathan

--
Start med PHP, Perl eller JSP uden at omskrive al din gamle ASP-kode.
jsp-hotel.dk tilbyder nu Chili!Soft ASP på alle hoteller.
http://www.jsp-hotel.dk/





Claus O (02-12-2001)
Kommentar
Fra : Claus O


Dato : 02-12-01 21:11

"Jonathan Stein" <jstein@image.dk> wrote

> Du overfører parametre fra QueryString direkte til SQL-kaldet - det er et
> åbent sikkerhedshul.

Du taler kun om sikkerhedshuller, Hr. Stein.... )
måske det var muligt at få en FAQ (som den anden fine webhotel du har lavet)
eller lidt links - jeg tør faktisk snart ikke engang sætte fingerne på tastaturet mere.
Claus




Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408941
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste