0

Javascript を使用してデータベースで検索を実行する単純なフォームがあります。

<form id="searchForm" onsubmit="return searchTree(this);" method="post" class="form-poshytip">
 <input type="text" name="searchbox" placeholder="zoek hier je product..." id="searchField" />
 <input type="image" value="Zoeken" name="submit" src="../img/Zoeken.PNG" alt="submit" />
</form>

Javascript では、Classic ASP を使用して Access に接続します。

<script language="JavaScript">
function searchTree(form) {
<% Dim rsTreeview2 %>
<% Set adoCon = Server.CreateObject("ADODB.Connection") %>
<% adoCon.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source=" & Server.MapPath("...") %>
<% Set rsTreeview2 = Server.CreateObject("ADODB.Recordset") %>
<% strSQL = "SELECT tblTreeview_nl.volgnr, tblTreeview_nl.lid_van, tblTreeview_nl.omschrijving, tblTreeview_nl.doctype, tblTreeview_nl.docnaam FROM tblTreeview_nl WHERE tblTreeview_nl.omschrijving LIKE '%" & request.form("searchbox") & "%'"%>
<% rsTreeview2.Open strSQL, adoCon %>
...
<% rsTreeview2.Close %>
<% Set rsTreeview2 = Nothing %>
<% Set adoCon = Nothing %>
return false;
};
</script>

ボタンを初めてクリックすると、request.form("searchbox") を使用してテキストボックスから正しい値が取得されますが、テキストボックスを変更した後にもう一度ボタンをクリックすると、request.form("searchbox") に古い値が含まれます。テキストボックスから現在の値を取得するにはどうすればよいですか?

4

1 に答える 1

1

ふぅ、どこから始めればいいのか...

  • 初め; データベース名を見つけてダウンロードできるので、この投稿からデータベース名を削除してください。
  • 2番; SQLインジェクションを防ぐために、検索語をエスケープします

問題は、を使用することonsubmit="return searchTree(this);"です。これは、関数がFALSEを返した場合、フォームは送信されないことを意味します。スクリプトでは、関数が常にfalseを返すため、フォームは実際には送信されません。

すべてのASP/vbscriptコードをjavascriptタグ内に配置した理由はわかりませんが、ツリービューを作成するためにいくつかのjavascriptコードをスクリプトタグに直接出力したと思います。これは問題ありませんが、テストの目的では、スクリプトタグ内ではなく、画面に出力することから始めて、そこから作業します。

私はあなたのコードをそれをするためにいくらか再フォーマットしました。あなたが持っているSQLインジェクションの問題のためのクイックフィックスもそこにあります。

お役に立てれば、

エリック

<%

function hasValue(value)
    hasValue = NOT(isNull(value) OR value="")
end function

function escape(inputValue)
    if hasValue(inputValue) then
        escape  = Replace(inputValue, "'", "''")
    end if
end function

function recordsetToString(rs)
    Dim objField
    recordsetToString   = ""
    recordsetToString   = recordsetToString & "<table class=""dbgtable"">"
    recordsetToString   = recordsetToString & "<tr>" & vbNewLine
    For Each objField in rs.Fields
    recordsetToString   = recordsetToString & "<th>" & objField.Name & "</th>" & vbNewLine
    Next
    recordsetToString   = recordsetToString & "</tr>" & vbNewLine
    if NOT rs.EOF then
        Do While Not rs.EOF
            recordsetToString   = recordsetToString & "<tr>" & vbNewLine
            For Each objField in rs.Fields
                recordsetToString   = recordsetToString & "<td>"
                if isNull(objField.Value) then
                    recordsetToString   = recordsetToString & "<i>NULL</i>"
                else
                    if vartype(objField.Value)>20 then
                        recordsetToString   = recordsetToString & typename(objField.Value)
                    else
                        recordsetToString   = recordsetToString & objField.Value
                    end if
                end if
                recordsetToString   = recordsetToString & "</td>" & vbNewLine
            Next
            recordsetToString   = recordsetToString & "</tr>" & vbNewLine
        rs.MoveNext
        Loop
        if rs.CursorType>0 then
            rs.movefirst
        end if
    end if
    recordsetToString   = recordsetToString & "</table>" & vbNewLine
end function

if hasValue(request.form("searchbox")) Then
Dim adoCon
Set adoCon = Server.CreateObject("ADODB.Connection") 
    adoCon.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source=" & Server.MapPath("[PATH_TO_DATBASE]") 
    Dim rsTreeview2
    Set rsTreeview2 = Server.CreateObject("ADODB.Recordset") 
        strSQL = "SELECT tblTreeview_nl.volgnr, tblTreeview_nl.lid_van, tblTreeview_nl.omschrijving, tblTreeview_nl.doctype, tblTreeview_nl.docnaam FROM tblTreeview_nl WHERE tblTreeview_nl.omschrijving LIKE '%" & escape(request.form("searchbox")) & "%'"
        rsTreeview2.Open strSQL, adoCon 
            recordsetToString(rsTreeview2)
        rsTreeview2.Close 
    Set rsTreeview2 = Nothing 
Set adoCon = Nothing 
end if
%>


<script language="JavaScript">
function searchTree(form) {
    return false;
};
</script>
于 2013-03-07T15:35:37.320 に答える