SQL injection

Helt generelt skal du sorterer så meget fra som muligt, eller rettere tillade så lidt som muligt. Det kunne f.eks. være

Tillade brug af bogstaver (hermed sortereralle tal fra hvis du kan)
Tillade brug at stort begyndelsesbogstav (hermed sorterer store bogstaver fra alle andre steder.
Tillade maximum 14 tegn og minimum 6 (Hermed sorterer alt mindere end 6 og større end 14 tegn fra)

Med ovenstående regler har du sikret at navnet kun indeholder bogstaver, kun har stort begyndelses bogstav, at der ikke kan bruges tal og specialtegn, heller ikke kode tegn, at der ikke kan bruges mellemrum at det ligger i intervallet 6 til 14 tegn.

Du kan overveje også at sortere æ,ø og å fra, det vil jeg anbefale

benyt dig af denne scanner
http://www.acunetix.com/vulnerability-scanner/

så finder den alle de sårbarheder der er i dit script.

brug parameters så sørger provideren selc for at håndtere alle tegn med
speciel betydning

arne_v hvad mener du med parameters ?

bufferzone; det er desværre ikke kun med brugernavne det er problemet, men også med passwords og generelt andre ting i databaser

parameters er hm parameters

jeg kan give et eksempel i ASP:

<%
' open
adParamInput = 1
adInteger = 3
adVarChar = 200
Set con = Server.CreateObject("ADODB.Connection")
con.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=C:\Databases\MSAccess\Test.mdb;;"
Set cmd = Server.CreateObject("ADODB.Command")
cmd.ActiveConnection = con
' traditionel
con.Execute "INSERT INTO t1 VALUES(7,'O''Toole')"
' med parameters
cmd.CommandText = "INSERT INTO t1 VALUES(@f1,@f2)"
cmd.Parameters.Append(cmd.CreateParameter("@f1", adInteger, adParamInput))
cmd.Parameters.Append(cmd.CreateParameter("@f2", adVarChar, adParamInput, 50))
cmd.Parameters("@f1") = 8
cmd.Parameters("@f2") = "O'Malley"
cmd.Execute
' close
Set cmd = Nothing
Set con = Nothing
%>
OK

Arne lav en post som svar, du fortjener pointene. Tak

svar

Tak for svaret, undskyld forsinkelsen arne_v