Wildcard in URL parameter

Waarom gebruik je geen post ipv get?

Cartman! schreef op dinsdag 02 oktober 2007 @ 09:25:
Waarom gebruik je geen post ipv get?

Omdat je voor idempotente acties gewoon get hoort te gebruiken.

En het kan wel met htmlentities() ed.

Verwijderd schreef op dinsdag 02 oktober 2007 @ 09:23:
Ik heb me helemaal suf gegoogled, maar ik kan het niet vinden. Is het mogelijk om parameters mee te geven met een wildcard in de URL?

Voorbeeld:

http://www.eensite.nl/result.asp?achternaam=k*

Zodat ik alle mensen met een achternaam die met een K begint krijg?
Het bovenstaande voorbeeld wil namelijk niet werken. Ook niet met een % als wildcard of LIKE in de URL.

Heeft iemand een idee of dit kan in HTML?

Dit moet je niet willen in HTML. Dit soort logica hoort thuis op de backend in de scripting taal die je daar gebruikt. SQL expressies als % en LIKE in je querystring gebruiken klinkt als een one way street to SQL injection.

Verwijderd schreef op dinsdag 02 oktober 2007 @ 09:36:
even los van het feit of ik het wel of niet op deze manier zou willen, is het mogelijk in HTML?

ja, het is gewoon mogelijk om in een URL als GETvariabele een wildcard mee te geven...
het is een variabele die gewoon zelfs ongecodeerd in een URI mag voorkomen en hoeft dus zelfs niet 'urlencoded' te worden (wat dat meestal resulteert in codes als '%20' voor een spatie)

echter.. HTML kan helemaal niks doen met GET-variabelen, het is enkel een statische documenten-taal en je hebt dus een scripting-taal nodig welke bewerkingen kan uitvoeren (die voert dan de database query uit)..
In jouw geval is het ASP, dus is het zaak om te kijken hoe ASP omgaat met de variabelen die je doorgeeft ...

een goede serverside aplicatie zorgt er overigens voor dat men van buitenaf niet zomaar al te specifieke query's kan uitvoeren, bv door SQL-statements uit te voeren, omdat dat en van de gevaarlijkste veiligheidsgaten en exploit-mogelijkheden zijn

[ Voor 9% gewijzigd door RM-rf op 02-10-2007 09:41 ]

Verwijderd schreef op dinsdag 02 oktober 2007 @ 09:36:
even los van het feit of ik het wel of niet op deze manier zou willen, is het mogelijk in HTML?

Speciale tekens in een URI moeten encoded worden. Een asterisks valt daar niet onder, dus http://www.eensite.nl/result.asp?achternaam=k* is een geldig URL. Een procentteken dien je echter wel te encoden tot %25 : http://www.eensite.nl/result.asp?achternaam=k%25

Verder: zie RM-rf: je zal daar serverside nog wel wat mee moeten doen. HTML is puur een document opmaak-taal en heeft niets met serverside processing te maken.

[ Voor 12% gewijzigd door crisp op 02-10-2007 09:43 ]

Verwijderd schreef op dinsdag 02 oktober 2007 @ 09:42:
Kan je mij een voorbeeld geven hoe de URL eruit komt te zien dan?

Nee, de url zoals je hem zelf gegeven heeft is volledig legitiem...

of je ASP applicatie ermee kan omgaan is een tweede vraag en die kun jij enkel beantwoorden als je weet hoe je specifieke ASP applicatie omgaat met die variabelen die je doorgeeft...
daarnaar kunnen wij moeilijk gaan raden

http://www.eensite.nl/result.asp?achternaam=k*

Volgens mij hangt het ervan af hoe je de database benadert, als dit via SQL is, denk ik als je de k* vervangt door k, deze als variabele in een string zet vervolgens een nieuwe string maakt met toevoegen van een % aan je string en dan deze gebruikt in je SQL statement

achternaam LIKE nieuwestring

moet het lukken.

Verwijderd schreef op dinsdag 02 oktober 2007 @ 10:07:
[...]


Volgens mij hangt het ervan af hoe je de database benadert, als dit via SQL is, denk ik als je de k* vervangt door k, deze als variabele in een string zet vervolgens een nieuwe string maakt met toevoegen van een % aan je string en dan deze gebruikt in je SQL statement

achternaam LIKE nieuwestring

moet het lukken.

als dat lukt via GET-variabelen, is het eerste advies dat ik zou geven, om dat ASP script onmiddelijk als de wiedeweerga van je server af te halen

veel succes dan met het uitzoeken hoe je ASP script wél werkt...

Of wat verwacht je eigenlijk anders van ons? met het herhaaldelijk zeggen 'dat het niet werkt'..?

Wat werkt er eigenlijk niet ?
Zoek je de personen met naam xxxx uit een database ?
Hoe ziet je SELECT statement er uit ? (als SQL aanroepen bestaat in ASP)<edit>

[ Voor 8% gewijzigd door Verwijderd op 02-10-2007 15:45 ]

SELECT is sowieso SQL en geen ASP. Het lijkt me verstandig als de TS eerst wat leest over het voorkomen van MySQL injections.