[MySql] Problema con una query

[bigdaniel]

Salve,

ho un problema con una query per un sito in ASP e con DB MySql.

Il problema è per un modulo di ricerca, con metodo POST.

I campi della ricerca sono due: una select e un campo di testo, con la possibilità di selezianarne anche uno solo dei due.

Quando seleziono solo il campo di testo, mi da il solito errore:

codice:

Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[MySQL][ODBC 5.1 Driver][mysqld-5.0.51b-community-nt]You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ')) OR (annunci.oggetto like'%%') ORDER BY oggetto ASC' at line 1
/dholebox/risultato.asp, line 14

la query è la seguente:

codice:

WHERE (((catego1.IDcatego1)=" & Request("cate1") & ")) AND (annunci.oggetto like'%" & cerca & "%') 

dove cerca è una variabile valorizzata in precedenza così:

cerca = request.form("nomo")

Qualche idea?

Grazie e buona giornata a tutti

[bigdaniel]

Nessuno sa darmi qualche indicazione ?

[75marika75]

Dovresti postare tutta la query, hai postato solo un pezzo della clausola WHERE

[deleted_29]

...anche perchè nella segnalazione c'è un OR, anzichè un AND.

A "occhio" il problema sorge nel momento in cui parte del parametro viene interpretato come parte della query, ossia una sorta di SQLinjection involontaria

[bigdaniel]

la query completa, o meglio, la clausola WHERE completa è:

codice:

WHERE (((catego1.IDcatego1)=" & Request("cate1") & ")) AND (annunci.oggetto like'%" & cerca & "%') ORDER BY oggetto ASC

si, è vero, avevo già cambiato OR con AND, ma la situazione non cambia

[bigdaniel]

Nessun suggerimento ?

[75marika75]

Prova così:

WHERE (catego1.IDcatego1 = " & Request("cate1") & ") AND (annunci.oggetto like '%" & cerca & "%')