htmlencode

[chisono]

bonjeur

se in una pagina con un form, invio un dato tipo:

codice:

<input name="nome" type="text">

e nel textfield ci metto


"marco <> prova ' cognome"

ovvero caratteri speciali.

Nella pagina che recupera i dati metto questo:

codice:

<% nome = request.form("nome")
nome = server.HTMLenode(nome)
%>

riesco ad inserire i dati nel db oppure mi crea problemi??

[Baol74]

dipende da come li inserisci...
se usi una stringa sql, la risposta è si
se usi ado la risposta è no

[chisono]

Originariamente inviato da Baol74
dipende da come li inserisci...
se usi una stringa sql, la risposta è si
se usi ado la risposta è no

inserisco con un conn.execute(sql)

con insert into

il db è mysql.

mi dà problemi,infatti.

come devo risolvere?
in pratica non voglio che l'utente possa inserire codice tipo javascript o apici per far saltare il db, ma voglio consentire agli utenti che magari hanno un cognome apostrofato di poter registrare correttamente il loro nome.

se è possibile senza usare il replace

[Baol74]

usa ado

Rs.Open "select * from users",conn,3,3
Rs.AddNew
Rs("Campo1")=valore
.
.
Rs.Update
Rs.Close

[rixx]

chiedi troppo o il replace o limiti i caratteri

[chisono]

Originariamente inviato da Baol74
usa ado

Rs.Open "select * from users",conn,3,3
Rs.AddNew
Rs("Campo1")=valore
.
.
Rs.Update
Rs.Close

l'addnew non è possibile farl con il mysql (se non sbaglio).

faro' come dice rixx metto un replace e via

[Baol74]

il replace non ti cambia nulla....

replace(valore,"'","''")

[chisono]

Originariamente inviato da Baol74
il replace non ti cambia nulla....

replace(valore,"'","''")

replace(valore,"'","°")

poi quando devo portare a video

valore = replace(rs(i),"°","'")

stessa cosa con gli < >

[Baol74]

no, no...

allora

function NormalizeString(s)
NormalizeString = Replace(s,"'","''")
End Function

Nome = Request("Name")

Sql = "Insert Into Users (Name) VALUES ('" & NormalizeString(Nome) & "')"