Just nu i M3-nätverket
Jump to content

SQL-säkerhet


Cariad

Recommended Posts

Hej,

Jag är lite nybörjare på ASP, så jag känner inte till alla funktioner än.

Hur som helst, jag letar efter en funktion som "escapar" alla '-tecken i min frågesträng så att jag säkert kan köra en SQL-fråga med användardata i.

 

Jag har följande kod (kör ASP i JScript):

sql = "SELECT * FROM tabell WHERE id = '"+Request.QueryString["id"]+"'";

 

Problemet ligger ju i att användaren nu kan ge variabeln id ex. värdet "1'; DROP DATABASE databas".

Jag måste alltså omvandla ' till \'

Finns det någon färdig funktion för detta, eller måste man använda sig av Replace()?

 

Förstår någon vad jag menar? :)

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...