Evitare l’Sql injection
25 Febbraio 2015
Attraverso l’uso della funzione Replace che soxtituisce quei caratteri dannosi (come la cancellazione dei dati di un db) con altri:
<% Function Pulisci(sTesto) 'Se non e' una stringa vuota ... If Len(testo)>0 Then testo = Replace(testo,"'","''") testo = replace(testo, "*", "[*]") testo = replace(testo, "%", "[%]") End If CleanStr=sTesto End Function %>
quindi richiamare la funzione:
<% xxx = Pulisci(Request.Form("yyy")) %>