Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

ndecastro

[Resolvido] Problemas em recuperar valor de ComboBox

Por , em ASP Clássico

Recommended Posts

ndecastro    0

ndecastro
Postado

e ele continua corretamente apenas no IE ??

você esta testando ele no host ou localhost...

 

direto no servidor...mais precisamente no locaweb. Tem um link para você visualizar e testar o problema. Está no primeiro post meu.

Compartilhar este post

Link para o post
Compartilhar em outros sites

ndecastro    0

ndecastro
Postado

Posta ai a página /include/cnn_admin.asp por favor.

 

Realmente, eu testei e só funciona no IE...

 

E o jeito que vce usou para mostrar mensagem pode facilmente ser vítima de injection...

 

 

esse arquivo é só uma função que cria a conexão...nada de mais, e a linha que gera o erro é a linha q executa o sql, ou seja, esse erro aparece sempre q se tem um erro na instrução sql. O problema está entre o envio do form e o recebimento das informações no servidor, só que eu não sei exatamente onde esta o erro.

 

aproveitando que você tocou no assunto, como ele pode usar injection com o jeito de exibir a mensagem?

Compartilhar este post

Link para o post
Compartilhar em outros sites

augustoclaro    2

augustoclaro
Postado

não só desse jeito como na hora de passar a coleção.

 

repare na sua url: http://musakalliopi.com.br/admin/admin_colecoes_editar.asp?colecao=4'>http://musakalliopi.com.br/admin/admin_colecoes_editar.asp?colecao=4

 

agora tente colocar uma aspa simples depois:

http://musakalliopi.com.br/admin/admin_colecoes_editar.asp?colecao=4'>http://musakalliopi.com.br/admin/admin_colecoes_editar.asp?colecao=4'

 

e veja o que acontece, entrega tudo. nome de tabelas, de campos, etc.

 

e na hora de enviar mensagem, é só o cara escrever lá http://musakalliopi.com.br/admin/admin_colecoes_editar.asp?colecao=4'>http://musakalliopi.com.br/admin/admin_colecoes_editar.asp?colecao=4&msg=codigo javascript

 

que vai rodar no onload da página, um exemplo simples: rode isso:

 

http://musakalliopi.com.br/admin/admin_colecoes_editar.asp?colecao=4'>http://musakalliopi.com.br/admin/admin_colecoes_editar.asp?colecao=4&msg=document.title='JAVASCRIPT INJECTION!';

 

e olhe o titulo da página.

 

 

Entende?

Compartilhar este post

Link para o post
Compartilhar em outros sites

ndecastro    0

ndecastro
Postado

não só desse jeito como na hora de passar a coleção.

 

repare na sua url: http://musakalliopi.com.br/admin/admin_colecoes_editar.asp?colecao=4

 

agora tente colocar uma aspa simples depois:

http://musakalliopi.com.br/admin/admin_colecoes_editar.asp?colecao=4'

 

e veja o que acontece, entrega tudo. nome de tabelas, de campos, etc.

 

e na hora de enviar mensagem, é só o cara escrever lá http://musakalliopi.com.br/admin/admin_colecoes_editar.asp?colecao=4&msg=codigo javascript

 

que vai rodar no onload da página, um exemplo simples: rode isso:

 

http://musakalliopi.com.br/admin/admin_colecoes_editar.asp?colecao=4&msg=document.title='JAVASCRIPT INJECTION!';

 

e olhe o titulo da página.

 

 

Entende?

 

entendi...irei corrigir esses problemas, a parte complicada da historia é que eu peguei esse sistema andado já, então algumas coisas não são de minha autoria, mas confesso que esses erros eu deixei passar despercebido.

 

mas agora voltando ao problema, você tem alguma ideia do que pode estar acontecendo para ele funcionar somente no IE?

Compartilhar este post

Link para o post
Compartilhar em outros sites

augustoclaro    2

augustoclaro
Postado

eu percebi que tem um campo hidden com o nome produtoSelecionado.

 

Então mude a função teste para:

 

function teste(id){
		document.getElementsByName('produtoSelecionado')[0].value = id;
	}

e puxe assim:

 

 

produto = Request.Form("produtoSelecionado")

Espero que resolva.

 

Em relação à Sql injection, tem várias funções no lab. de scripts.

Compartilhar este post

Link para o post
Compartilhar em outros sites

xanburzum    169

xanburzum
Postado

sempre uso esse função para sqlinjection

 

Function SafeSQL(sInput)
  TempString = sInput
  'sBadChars=array("select", "drop", ";", "--", "insert", "delete", "xp_", "#", "%", "&", "'", "(", ")", "/", "\", ":", ";", "<", ">", "=", "[", "]", "?", "`", "|") 
  sBadChars=array("select", "drop", ";", "--", "insert", "delete", "xp_", "#", "%", "&", "'", "(", ")", ":", ";", "<", ">", "=", "[", "]", "?", "`", "|") 
  For iCounter = 0 to uBound(sBadChars)
    TempString = replace(TempString,sBadChars(iCounter),"")
  Next
  SafeSQL = TempString
End function

Compartilhar este post

Link para o post
Compartilhar em outros sites

ndecastro    0

ndecastro
Postado

eu percebi que tem um campo hidden com o nome produtoSelecionado.

 

Então mude a função teste para:

 

function teste(id){
		document.getElementsByName('produtoSelecionado')[0].value = id;
	}

e puxe assim:

 

 

produto = Request.Form("produtoSelecionado")

Espero que resolva.

 

Em relação à Sql injection, tem várias funções no lab. de scripts.

 

foi na mosca...funcionou, não agredido que era somente isso, pior que eu tinha tentado fazer isso, só que de uma forma um pouco diferente.

 

document.getElementById('produtoSelecionado').value = id;

Qual é a diferença dos dois?

Compartilhar este post

Link para o post
Compartilhar em outros sites

augustoclaro    2

augustoclaro
Postado

o getElementById pega por id, e no campo hidden não tinha id. mas tinha o nome, então nós usamos o getElementsByTagName("nome"), que retorna uma array, como nós queríamos o primeiro (o único) usamos o [0].

 

Que bom que funcionou. =D

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos ASP Clássico
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito