Just nu i M3-nätverket
Gå till innehåll

SQL-säkerhet


Cariad

Rekommendera Poster

Hej,

Jag är lite nybörjare på ASP, så jag känner inte till alla funktioner än.

Hur som helst, jag letar efter en funktion som "escapar" alla '-tecken i min frågesträng så att jag säkert kan köra en SQL-fråga med användardata i.

 

Jag har följande kod (kör ASP i JScript):

sql = "SELECT * FROM tabell WHERE id = '"+Request.QueryString["id"]+"'";

 

Problemet ligger ju i att användaren nu kan ge variabeln id ex. värdet "1'; DROP DATABASE databas".

Jag måste alltså omvandla ' till \'

Finns det någon färdig funktion för detta, eller måste man använda sig av Replace()?

 

Förstår någon vad jag menar? :)

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...