Можем ли мы использовать Request.QueryString в классическом ASP, если используем маскирование URL?

Question

Я пишу сайт для нашего местного клуба.У меня есть весь сайт, написанный на ASP, связанный с нашим внутренним SQL-сервером, и он прекрасно работает.Я хочу создавать профили игроков сейчас.Обычно я бы использовал "(a href = playerdetails.asp? ID = 1) Player 1 (/ a)", тогда в разделе ASP страницы используйте strsql = "SELECT * FROM Players Where ID =" & request.querystring ("ID ").

Однако здесь начинаются мои проблемы.Чтобы сэкономить деньги для клуба, я также размещаю сайт для них в своем личном домене.Мы зарегистрировали там домен и вместо того, чтобы платить за хостинг, мы просто перенаправили трафик через домен, регистрировали переадресацию URL, используя маскировку.Поэтому вместо URL, на котором написано www.mydomain.com/club/, написано www.club.com.

Таким образом, первоначальный вопрос ... Могу ли я использовать request.querystring с имеющейся у нас настройкой?Если нет, то есть ли способ обойти это, поскольку в клубе на самом деле нет места для хост-сайта с SQL в бэкэнде.

Заранее спасибо,

Пол.

PS <в ссылке заменено на ('для правильного отображения. </p>

Answer 1

Пара вещей:

Маскировка URL использует фреймы, чтобы скрыть фактический URL. Вы все еще можете использовать значения строки запроса в URL, однако вы не увидите URL в изменении адресной строки, потому что это всегда будет www.club.com для маскировки URL.

http://en.wikipedia.org/wiki/Domain_Masking

Во-вторых, вы открываете свой сайт для атак с использованием SQL-инъекций:

• НИКОГДА не доверяйте вводу пользователя
• НИКОГДА не используйте Request.QueryString или Request.Form в состояниях SQL без фильтрации плохих символов и ключевых слов.

http://en.wikipedia.org/wiki/SQL_injection