|
|
|
новичок
участник
Last Login: 30.04.2007 7:54
Сообщ.: 2,
Visits: 10
|
|
| Необходимо передать из поля данные в условие отбора запроса: Делаю типа location.href="search.asp?ee=str" в search.asp ... WHERE ((X.X)=" & Request.QueryString("ee") & ") .... Так вот - если X.X - чиловое поле, вместо str ставлю конкретное число - то работает. Но нужно использовать условие для X.X строковое. При этом его нужно передать из поля: input Name=txt id=Text1 Уже едет крыша... Помогите!!!
|
|
|
|
|
Supreme Being
модератор
Last Login: 03.04.2008 13:12
Сообщ.: 1 297,
Visits: 12 498
|
|
если честно, то ваш код - "находка для шпиона", вам стоит почитать статьи на тему SQL injection, хотя бы в той же википедии (http://en.wikipedia.org/wiki/SQL_injection, по-русски там тоже немного есть)
по сути вопроса, в SQL строковый параметры в условии WHERE должны быть взяты в одиночные апострофы: 'xxx'
то есть код для строковых переменных в вашем стиле будет выглядеть примерно так:
... WHERE ((X.X) = '" & Request.QueryString("ee") & "') ....
ввообще-то там все надо делать через параметризированные запросы, используя синтаксис:
... WHERE (X.X = ?) ....
тогда не будет проблем с различными типами (строковые, числовые, дата/время), а также, автоматически, программа будет защищена от вышеупомянутой техники взлома
Удачи,
Владимир
|
|
|
|
|
Supreme Being
модератор
Last Login: 03.04.2008 13:12
Сообщ.: 1 297,
Visits: 12 498
|
|
хм... и вообще search.asp
как данный вопрос вообще попал в раздел Java? O_o
|
|
|
|
|
Supreme Being
модератор
Last Login: 04.05.2008 13:32
Сообщ.: 7 240,
Visits: 65 445
|
|
| Похоже kenin перепутал Java c JavaScript.
|
|
|
|