Onclick-syntax-problem bei der übergabe von zwei Variablen, classic asp

onclick=""deleteRecordAtt(" & AttID &","& StoredPath & " )""

Verkettung von strings ohne Flucht - noch nie eine gute Idee. Vermutlich AttID ist eine Ganzzahl, die ist, warum Sie Weg mit, dass ein argument, aber StoredPath ist ein string. Als Sie nicht entkommen oder gewickelt, die saite, Ihr Schreiben oben werden am Ende mit HTML-code wie (vorausgesetzt, 'storedpath' ist zum Beispiel ein Dateiname):

onclick="deleteRecordAtt(123, file.gif)"

einer nicht börsennotierten 'file.gif" nicht, HIERFÜR gültigen JavaScript-natürlich: ein syntax-Fehler führt. Stellen Sie sicher, Sie haben Skript-Fehler in Ihrem browser aktiviert ist, so dass Sie sehen können, wenn so etwas schief geht, statt es einfach still zu scheitern.

Die naive Lösung besteht darin einwickeln Zitate:

onclick=""deleteRecordAtt(" & AttID &", '"& StoredPath & "' )""

sind die Ergebnisse in:

onclick="deleteRecordAtt(123, 'file.gif')"

die Arbeit. Aber was, wenn Ihr StoredPath-variable ist ein einzelnes Zitat in es? Oder ein < oder & Charakter - diese müssen immer die Enkodierung mit Hilfe von Server.HTMLEncode() sowieso, es sei denn, Sie wollen cross-site-scripting-Sicherheitslücken in Ihrem app.

Was man brauchen würde wäre eine VBScript-Funktion zum escape-Zeichen in JavaScript-string-Literale, durch die Flucht out-of-band-Zeichen in JavaScript - \xNN hex-Zeichen-escapes. Eine einfache version würde anfangen mit sowas wie (ungetestet, ich bin nicht eine VBScript-coder):

<%
    jsLiteral= Replace(StoredPath, "\", "\x5C")
    jsLiteral= Replace(jsLiteral, "'", "\x27")
    jsLiteral= "'" & jsLiteral & "'"
%>
<input ... onclick="deleteRecordAtt(<%= AttID %>, <%= Server.HTMLEncode(jsLiteral) >)">

Bearbeiten hinzufügen re Frage Bearbeiten:

objConn.Execute("UPDATE EMAIL_SEND_ATTACHMENTS set ANLAGEN = Replace(LTRIM(RTRIM(ANHÄNGE),), '"& StoredPath & "' ,"), WO EMAIL_LETTERS_HOLD_ID= "& AttID & " ")

Wieder, strings verketten, ohne entkommen. Diese bietet Ihnen eine SQL-injection-Fehler - ein einfaches Anführungszeichen in Ihrem StoredPath variable bewirkt, dass die Abfrage zu sprengen. Und wenn ein Angreifer sagte etwas wie:

StoredPath=', ''));DROP TABLE EMAIL_SEND_ATTACHMENTS;--

dann schwupp auf Wiedersehen-Datenbank! Wahrscheinlicher ist, dass Sie von einem hit der viele automatisierte SQL-injection-Angriffen, die derzeit die Verbreitung der Russischen malware-rund um das web.

Entfliehen Sie dem SQL-string-Literale oder, besser, verwenden parametrierte Abfragen.

ich auf ja und nichts passiert

Wieder stellen Sie sicher, dass JavaScript-Fehler sind aktiviert, so dass Sie sehen können, keine Probleme. Ich weiß nicht, ob es das Problem in diesem Fall, aber:

document.location.href="delete_attachments.asp?EMAIL_LETTERS_HOLD_ID="+AttID+"&RedirURL="+escape(document.location.href);

Lesen sollte:

location.href= "delete_attachments.asp?EMAIL_LETTERS_HOLD_ID="+AttID+"&RedirURL="+encodeURIComponent(location.href);

JavaScript escape() sollte nicht immer verwendet werden, wie es ist subtil und dummerweise nicht kompatibel mit der korrekten URL-Kodierung erfolgt durch alsterrunde().

Lage - kurze für Fenster.- Standort - ist in Wirklichkeit ein anderes Objekt zu dokumentieren.Standort und die richtige zu verwenden, wenn Sie möchten, bewegen Sie den browser auf eine neue Seite. Schriftlich zu dokumentieren.Lage ist nicht funktionieren soll, obwohl es vielleicht noch auf manchen Browsern manchmal, wenn Sie Glück haben.