שלום,יש לי Access 2003
ואני לא רוצה כבר להיתשמש בזה כי זה נורא פריץ וגם אם ירשמו לאתר הרבה זה יעבוד לאט.
עיינתי באשכול של asp ומסד נתונים שבפורום וכל הקישורים שבורים.
מישהו יכול לעזור?

לר ברור מה אתה מחפש...
עברת על השאכול האחרון שדיבר על זה?
הנה דוגמאות למחזורות הקישור המתאימות:
http://www.fresh.co.il/vBulletin/sh...416#post2948928

תודה
עוד שאלה לא קשורה
איך מונעים ב asp הזרקת sql ל-URL
?

תלוי איזה פרמטרים אתה רוצה להעביר. זה לא משנה GET או POST.

אם אתה רוצה להעביר סתם מספר, (בנתוני GET לא מומלץ להעביר דברים אחרים) למשל ID של משהוא, אז בדוק עם הנתונים מכילים רק ספרות. ישנה פונקציה מובנת, IsNumeric, שהיא מחזירה לך True אם זה מספרי, ו-False, אם זה לא מספרי. בהתאם לנתונים שהעברת.
אם כי הפונקציה לא מושלמת, כי יש תווים שהיא תחזיר שהם גם מספרים. לכן, אני ממליץ לך בחום לבנות לך פונקציה משלך. (אם אתה מתקשה בזה, כתוב כאן, ואני אתן לך את הפונקציה שלי שהיא עובדת בכל המיקרים)


אם אתה רוצה לסנן נתונים שהם טקסט, ולא מספר, אז אתה יכול לעשות 2 דברים:
1. להגדיר אילו תווים מותר להשתמש, ואת השאר לא לאפשר. אם בנית פונקציה מתאימה כמו זו בדוגמא הקודמת, תוכל להסב אותה בקלות גם לזה.

2. לאפשר את כל התווים, ולחסום רק את אילה שעושים בעיות. שזה כמובן תלוי במסד שלך, אבל בעיקרון זה כל אלה: & ` # " ' , ( ) <> [] {} % = : @ !
שים לב!. אין צורך לסנן אותם. ניתן להמיר אותם ליוני-קוד.
דוגמא: "<" הופך ל- &lt; ו- "&" הופח ל-&amp;
(אם אתה רוצה, כתוב, ואני אתן לך גם את הפונקציה שלי)


בכל מיקרא, את הפונקציות, או את תנאי הסינון, מומלץ לשים בקובץ ניפרד, ולקרוא לו כשצריך.
דוגמא:

קוד:

 <!--#INCLUDE FILE="filter.asp" --> 

בהצלחה!

תודה רבה עובד

שים לב רק ש IsNumeric מחזיר True גם על מחרוזת ריקה.
מבחינת הפונקציה הזו מחרוזת ריקה היא אפס ולכן מוחזר True.
בעיקרון הדרך הכי טובה למנוע הזרקות SQL או XSS זה להיות פרנואיד, הכוונה היא שבחיים אל תאמין שמשתמש יכניס את המידע שהוא אמור להכניס,
כל מידע שהמשתמש שולח הוא חשוד וכמעט בטוח שהוא מכיל משהו שעלול לדפוק לך את הקוד, עכשיו המטרה שלך היא לסרוק את המידע שאתה מקבל ולוודא שהוא לא מכיל שטויות (סימנים בעייתיים של SQL, תגיות HTML וכו').
כדאי שתחפש חומר על איך עושים SQL Injunction (מסתובב ברשת אפילו מאמר בעברית) ואז תבין איך זה עובד וגם אילו תוים אתה לא רוצה שיוכלו לרשום לך באתר.

לגבי קלט מהמשתמש, כל מה שאתה מקבל באמצעות האובייקט Request נחשב קלט מהמשתמש, גם אם אתה בטוח שאתה כתבת אותו (נניח שאתה מעביר ID בין 2 עמודים).
כל דבר שעובר דרך המשתמש יכול להיות נתון למניפולציות שלו (Get,Post,Cookies וכו') ואתה חייב לבדוק אותו.

בברכה,

Uninstall

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.stopie6.org/img/badges/120_60black.gif]

תודה רבה.
XSS
חוסמים עם
Server.htmlencode
אני בטוח.
ויש לי עובד שאלה
תיראה את הקוד הבא:

קוד:

 <% 
sql="Select ID, Max(USERNAME) as MaxUSERNAME From reg Group by ID"
path=Server.MapPath("QPortalDbsemses1/md5sql.mdb")
Set con=Server.CreateObject("ADODB.Connection")
con.open"Driver={Microsoft Access Driver (*.mdb)}; DBQ=" & path & ";"
Set R=con.execute(sql)
Do Until R.eof
Response.write("בירכותנו למישתמש החדש:"&R.fields("USERNAME")&"")
R.MoveNext
Loop
R.close
Set R=Nothing
%>

(אני מישתמש ב-אקסס בנתיים עד שאני יסתדר)

עכשיו אני מנסה לישלוף את האידיי החדש ביותר(זאת אומרת הגדול ביותר)
וזה נותן לי את הבעיה הזאת:

קוד:

 
 
Script error detected at line 188. 
Source line: Response.write("בירכותנו למישתמש החדש:"&R.fields("USERNAME")&"") 
Description: ‏‏הפריט לא נמצא באוסף המתאים לשם המבוקש או למספר הסודר המבוקש.
 

וזה לא יכול להיות א-username הוא קיים אני יכול להביא לך אפילו הדפס של הטבלה

קודם כל זה נכון שאפשר למנוע XSS עם htmlencode, הבעיה שהיא דופקת טקסט בעברית שעובר דרכה.
ובגלל זה אני משתמש בפונקציה שעושה כל מיני החלפות של תגיות.

דבר שני אני חושב שאתה לא יכול לגשת ככה לנתונים, אתה צריך להגדיר RecordSet ולהשתמש בו כדי לגשת לנתונים.

דבר שלישי, תחליף את ה Provider שלך ל- Jet (תריץ חיפוש בפורום), אחרת אתה תתחיל להנות מכל מיני הודעות שגיאה לא ברורות על דברים שלא קיימים

בברכה,

Uninstall

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.stopie6.org/img/badges/120_60black.gif]

אוקי תודה

ושאלה אחרונה
כתבתי במישתנה שלי-

קוד:

ID= IsNumeric(Request.QueryString("id"))

זה חוסם תוים אבל אם אני יכנס ל

קוד:

?id=4

זה מציג לי את הid הראשון בטבלה
יש לך מושג למה
וניסיתי גם

קוד:

IsObject

זה עבד חלקית אבל היה בו טעות גם

IsNumeric זו פונקציה בוליאנית, זאת אומרת שהיא מחזירה True או False.
מה שאומר שלפי השורה שכתבת, הערך של ID יהיה True אם המשתמש הכניס מספר או False אם הוא הכניס שטויות.
אבל איבדת את הנתון של המשתמש.
אתה צריך לעשות להכניס למשתנה ID את מה שמתקבל ע"י Request.QueryString("id")
ואז לעשות בדיקה if isNumeric(ID) and not IsEmpty(ID) then ואז לעשות מה שאתה רוצה.

בברכה,

Uninstall

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.stopie6.org/img/badges/120_60black.gif]

לא ממש הבנתי אבל תראה מה אני עשיתי:

קוד:

 <%@ Language=VBScript codepage=1255%> 
<%
ID=IsNumeric (Request.QueryString("id"))
Set conn = Server.CreateObject("ADODB.Connection") 
FilePath = Server.MapPath("db/data.mdb")
Conn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source=" & FilePath & ";" 
Set rs = Server.CreateObject("ADODB.Recordset") 
SQL = "SELECT * FROM reg Where ID="&ID 
rs.Open SQL, conn, 1, 1 
%>
<%
if isNumeric(ID) and NOT IsEmpty(ID) then 
%>
<table width="200" height="200" align="center">
<tr>
<th BackGround="imgForum/Logo.gif">
</tr>
</table>
<body vlink="white" alink="white" dir="rtl" bgcolor="#F4F4F4">
<TITLE>שגיאה!</titlE>
<table width="200" height="200" align="center">
<tr>
<th BackGround="imgSite/Logo.gif">
</tr>
</table>
<link rel="stylesheet" href="StyleCSS.css" type="text/css">
<CenTer>
<BR>
<BR>
<BR>
<BR>
<BR>
<BR>
 
<BR><a href="Index.asp"><font color="BLACK" size="4" face="TAHOMA"><B>פרופיל לא נימצא</B></a><BR>
</CenTer>
<%
Else
%>

ופה בא ההחזר של תנאי האמת

אבל הקוד מראה לי רק את התנאי שקר

מה עושים?

אני אנסה להסביר לך שוב מה הטעות שלך.
אתה כתבת את השורה הזו:

קוד:

 ID=IsNumeric (Request.QueryString("id")) 

בכוונה שהמשתנה ID שלך יכיל את מה שהמשתמש שלח במחרוזת get שלך (אחרי הסימן שאלה בשורת כתובות).

אבל הפונקציה IsNumeric מחזירה ערך True או False.
ולכן המשתנה ID שלך לא יכיל את המספר שהמשתמש הקליד אלא ערך אחר.
ופה נוצר כל הבלאגן שלך.

מה שאתה צריך לעשות זה דבר מאוד פשוט, קודם כל להכניס למשתנה ID את המידע של המשתמש כמו שהוא כלומר:

קוד:

 ID= Request.QueryString("id") 

אח"כ אתה יכול לכתוב משפט IF שיבדוק אם המשתנה ID הוא מספר באמצעות הפונקציה IsNumeric
ואם נניח התשובה היא לא אתה יכול לבחור מה לעשות (להפסיק את הרצת הקוד, לרשום הודעת שגיאה כלשהיא, להציב ערך ברירת מחדל 0 במקרה כזה, מה שבא לך).

מה שכתבתי למעלה, זה שהפונקציה הזו מתייחסת לערך ריק כאילו הוא המספר 0, ולכן אתה תרצה באותה ההזדמנות לבדוק אם הערך לא ריק ובגלל זה IsNumeric מחזיר True.
את הבדיקה הזו אפשר לעשות בכל מיני שיטות, אפשר לבדוק אם ה ID="" או להשתמש בפונקציה IsEmpty

אני מקווה שעכשיו הכל ברור.

בברכה,

Uninstall

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.stopie6.org/img/badges/120_60black.gif]

אתה מחפש פונקציה אחרת.
IsNumeric מחזיר מיספרי או לא. VAL מחזיר את הערך עם המספר.
כל מה שאתה צריך זה לשנות את השורה הזה:

קוד:

 
 ID=IsNumeric (Request.QueryString("id")) 
 

בזו:

קוד:

 ID=val(Request.QueryString("id"))  

זה לא מזהה את val
Script error detected at line 2.
Source line: ID=val(Request.QueryString("id"))
Description: ‏‏אי-התאמה של סוג: 'val'

ול-unistall ניסיתי לתקן אבל עוד פעם זה מראה רק את ה-id הראשון הנה הקוד:

קוד:

<%
ID=Request.QueryString("id") 
Set conn = Server.CreateObject("ADODB.Connection") 
FilePath = Server.MapPath("data/db.mdb")
Conn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source=" & FilePath & ";" 
Set rs = Server.CreateObject("ADODB.Recordset") 
SQL = "SELECT * FROM reg Where ID="&ID 
rs.Open SQL, conn, 1, 1 
%>
<%
IF ID=False OR IsEmpty(ID) then
%>
<table width="200" height="200" align="center">
<tr>
<th BackGround="imgForum/Logo.gif">
</tr>
</table>
<body vlink="white" alink="white" dir="rtl" bgcolor="#F4F4F4">
<TITLE>שגיאה!</titlE>
<table width="200" height="200" align="center">
<tr>
<th BackGround="imgSite/Logo.gif">
</tr>
</table>
<link rel="stylesheet" href="StyleCSS.css" type="text/css">
<CenTer>
<BR>
	<BR>
<BR>
	 <BR>
	<BR>
	 <BR>
 
<BR><a href="Index.asp"><font color="BLACK" size="4" face="TAHOMA"><B>פרופיל לא נימצא</B></a><BR>
</CenTer>
<%
Else
%>

אין פונקציה שנקראת Val, או לכל הפחות אין לך צורך בפונקציה כזו.
תקרא מה שכתבתי ותראה שזה עובד

בברכה,

Uninstall

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.stopie6.org/img/badges/120_60black.gif]

תודה רבה.
אפשר לינעול..