Gracias
<a href='ir.asp?http://www.ajoderseyaguantarse.com' target='_blank'>http://www.ajoderseyaguantarse.com...</a>
05/06/2002, 09:29
| |||
| |||
| susbstituir caracter de formulario Buenas. Aver si alguien puede ayudarme: tengo un formulario q cuando se envia, si algún campo contiene un apóstrofe se mezcla con el codigo fuente y me da error. Me he fijado que en ForosDelWeb se substituyen los apóstrofes por ". Pues queria saber como controlar eso. Sé como hacerlo desde JavaScript pero me han dicho que es mejor desde ASP. Como lo hago? Que opinais? Gracias <a href='ir.asp?http://www.ajoderseyaguantarse.com' target='_blank'>http://www.ajoderseyaguantarse.com...</a> |
|
05/06/2002, 09:35
| ||||
| ||||
| Re: susbstituir caracter de formulario Saludos, Para solucionar esta vulnerabilidad se puede almacenar los datos del formulario en variables y luego reemplazar, con la instrucción Replace, los caracteres que puedan afectar el script ASP (como la comilla simple ‘) por otros que resulten inofensivos. De esta forma, una consulta SQL segura puede ser: <% variable1 = Request.Form("usuario") ‘Guardamos el envío en variables variable2 = Request.Form("password") ConsultaSQL="SELECT * FROM usuarios WHERE user= '" + Replace(variable1, "'", "''") + "' AND p_clave = '" + Replace(variable2, "'", "''") + "'" %> En este caso las comillas simples son reemplazadas por dos comillas, de manera que siempre habrá un número par de comillas en la variable, evitando de esta forma una intervención en el script. |
|
05/06/2002, 09:50
| |||
| |||
| Re: susbstituir caracter de formulario No me funciona. A ver. Soy novato y tal vez (seguramente) me equivoque, pero pq consultamos la base de datos si no se habrá aconseguido meter los campos con '? No seria algo relacionado con modificar el Request.Form? (digo yo...) Gracias <a href='ir.asp?http://www.ajoderseyaguantarse.com' target='_blank'>http://www.ajoderseyaguantarse.com...</a> |
|
05/06/2002, 09:56
| ||||
| ||||
| Re: susbstituir caracter de formulario lo que quieres es: 1.controlar el ingreso de un dato con comilla simple 2.consultar a la base de datos ingresando una comilla como dato de entrada de consulta what´s is the problem? |
|
05/06/2002, 09:59
| |||
| |||
| Re: susbstituir caracter de formulario Mira, si pongo comilla simple me da error pq no puede entrar en la base de datos. Entonces quiero que antes de meter los datos en la base de datos compruebe que en el formulario de envio no hay ninguna de esas comillas y si la hay cambiarla, por ejemplo por " <a href='ir.asp?http://www.ajoderseyaguantarse.com' target='_blank'>http://www.ajoderseyaguantarse.com...</a> |
|
05/06/2002, 10:14
| ||||
| ||||
| Re: susbstituir caracter de formulario entonces es al ingresar... haz lo que dice Sir...pasa el valor a una variable y utiliza el Replace...
Código:
<%
variable=Request.form("dato_a_ingresar")
Entrada=Replace(variable,"'", "''")
SQL=Insert into tabla values('" & entrada & "');"
Set Registro=Conexion.execute(SQL);
%>
|
|
05/06/2002, 10:29
| |||
| |||
| Re: susbstituir caracter de formulario OK. Ya me ha funcionado. Muchas gracias! <a href='ir.asp?http://www.ajoderseyaguantarse.com' target='_blank'>http://www.ajoderseyaguantarse.com...</a> |
