beskyt mod SQL Injections
Hejsa,Jeg er lige blevet informeret om at jeg er i fare for SQL injections. Og derfor vil jeg meget gerne få dette rettet. Jeg havde dog aldrig hørt om dette før og vil derfor høre hvad jeg kan gøre for at fixe dette?
Således åbner jeg mine data:
Databasen åbens således:
----------------------------------------------
<%
MM_webdatabase_STRING = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=d:\web\site\database\webdatabase.mdb"
%>
Således åber jeg enkelte tabeller:
-----------------------------------------------
<!--#include file="../Connections/webdatabase.asp" -->
<%
set finduniquepage = Connmainpages.Execute("SELECT * FROM thepages WHERE Pmainhtml LIKE '%"& request.form("search") &"%' order by Pmenu ASC")
%>
------------------------------
Jeg har fundet følgende artikel som skulle være rigtig god, men hvordan får jeg den omskrevet til min fremgangmåde?
http://activedeveloper.dk/artikler/default.asp?articleid=370
Dim loConnection As New OleDbConnection("Provider=Microsoft.Jet.OLEDB.4.0;User ID=Admin;Data Source=C:\Database\myDatabase.mdb;Mode=Share Deny None")
Dim lsSQL As String = "SELECT EmployeeID FROM Employees WHERE FirstName = @FirstName AND LastName = @LastName"
Dim loCommand As New OleDbCommand(lsSQL, loConnection)
Dim loFirstNameParm As OleDbParameter = New OleDbParameter("@FirstName", OleDbType.VarChar)
With loFirstNameParm
.Direction = ParameterDirection.Input
.Value = txtFirstName.Text.Trim
End With
Dim loLastNameParm As OleDbParameter = New OleDbParameter("@LastName", OleDbType.VarChar)
With loLastNameParm
.Direction = ParameterDirection.Input
.Value = txtLastName.Text.Trim
End With
With loCommand
.Parameters.Add(loFirstNameParm)
.Parameters.Add(loLastNameParm)
End With
loConnection.Open()
Dim loDataReader As OleDbDataReader = loCommand.ExecuteReader()
'Anvend DataReader
loDataReader.Close()
loConnection.Close()
På forhånd tak
