area riservata ma sicura!

[David_pop]

salve, ho questo code per far si che una pagina successiva al login, non venga richiamata direttamente senza login, ma direzioni in quel caso alla login.asp...

codice:

set conn = server.createObject("ADODB.Connection") 
conn.Open "Driver={Microsoft Access Driver (*.mdb)};PWD=;DBQ=" & Server.MapPath("/mdb-database/db.mdb")  

scelta= Request.QueryString("scelta") 

if scelta = "0" then 
   sSQL = "SELECT * FROM Club WHERE username = '" & session("username") & "' " 
end if 
set rs2 = conn.execute(sSQL) 
if rs2.eof then 
   response.redirect("../sito/login_club.asp") 
end if

però mi da questo errore:

Microsoft OLE DB Provider for ODBC Drivers error '80040e0c'
Command text was not set for the command object.
/sito/mariorossi/dettagli.asp, line 17

[GudFella]

e se scelta vale 1 ?
comunque controlla cosa contiene sSql prima che venga eseguito

[luigi1970]

SQL Injection a go-go!!!!

[luigi1970]

Prova cosi:

codice:

<%

Function chgSQL(stringa)
stringa = Replace(stringa, "'", "''")
stringa = Replace(stringa, "%", "[%]")
stringa = Replace(stringa, "[", "[[]")
stringa = Replace(stringa, "]", "[]]")
stringa = Replace(stringa, "_", "[_]")
stringa = Replace(stringa, "#", "[#]")
chgSQL = stringa
End function

sSQL = "SELECT * FROM tabella WHERE pippo = '" & chgSQL(Request.form("scelta")) & "'"

%>

inoltre segue tutta una serie di controlli sul contenuto come suggerisce Gudfella

[David_pop]

beh controlla la username dalla tabella "club" e la mette come "session".. per quanto riguarda "scelta" non so, forse non serve.. ma come devo fare allora, stampa sempre quell'errore..

[David_pop]

Ma devo inserire la stringa "luigi" e eliminare tutto il resto del code che avevo messo io?

[ceccanocity]

Ciao David...vedi se ti puo essere utile:

http://www.ciotoli.it/apri/Articoli/...-access-e-asp/

Saluti