Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

wilnet

/pagina.asp?lista=categoria&cat_id=1'

Por , em ASP Clássico

Recommended Posts

wilnet    92

wilnet
Postado

Bom dia amigos, ontem alguem acessou minha página com esse link:

/pagina.asp?lista=1', e carregou a index.asp, depois ele tentou com esse link: /pagina.asp?lista=categoria&cat_id=1', e carregou uma página com este erro: 

Microsoft OLE DB Provider for ODBC Drivers error '80040e14' 
[Microsoft][ODBC Microsoft Access Driver] Syntax error (missing operator) in query expression 'cat_id=1' AND cad_ok='S' AND avenida='Av. osasco' ORDER BY RND(INT(NOW*id)-NOW*id)'. 

/pagina.inc, line 32
, gostaria de saber como evitar isso e sem tem algum perigo para meu Site?

 

Obrigado amigos.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Giancarlo Braga    0

Giancarlo Braga
Postado

Olha.

Aparentemente ele está tentando pegar parte do seu código fonte ou coisa do tipo.

Eu ficaria preocupado pelo menos...

 

Se você puder, ao invés de GET use POST. Só que no seu caso acho que não é bem passagem de valores através de form, né?

Compartilhar este post

Link para o post
Compartilhar em outros sites

jrcardozo    4

jrcardozo
Postado

você precisa tratar os valores(se são numericos ou strings) que são recuperados antes de executar o sql. Se não me engano dá pra desabilitar a depuração de scripts do servidor, mas para isso precisa ter permissão de acesso ao IIS.

Compartilhar este post

Link para o post
Compartilhar em outros sites

wilnet    92

wilnet
Postado

Desde já agradeço muito a atenção dada, mas ainda não entendo muito de ASP (Leigo), ainda preciso de explicaçãoes mais detalhadas por favor, se tiverem como me explicarem melhor e até mesmo se existe com exemplo nesse respeito eu agredeceria muito meus amigos.

Compartilhar este post

Link para o post
Compartilhar em outros sites

jrcardozo    4

jrcardozo
Postado

exemplo simples

 

id=request.querystring("id")

if isnumeric(id)=false or isempty(id) or id="" then response.write("id invalido"):response.end()

Compartilhar este post

Link para o post
Compartilhar em outros sites

wilnet    92

wilnet
Postado

Grato, mas como eu posso add em meu code ak, é neste campo?

set lista_produtos = loja.Execute("SELECT * FROM clientes WHERE cat_id="& cat_id &" AND cad_ok='S' AND avenida='Av. osasco' ORDER BY RND(INT(NOW*id)-NOW*id)")
, se for nessa parte do code onde add?

 

Vou ficar fazendo teste ak, inserindo esse seu exemplo, mas aguardo respostas por favor amigos.

Gratooo

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos ASP Clássico
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito