Citat:
Originally posted by WeaZear@Jun 22 2008, 09:41
Kod:
Const adVarChar = 200
Const adParamInput = 1
cmd = Server.CreateObject("ADODB.Command")
Set cmd.ActiveConnection = conn
cmd.CommandText = "SELECT * FROM Users WHERE Username = ?"
cmd.Parameters.Append cmd.CreateParameter("Username", adVarChar, adParamInput)
cmd.Parameters("Username") = "Tant102"
|
Där används ADODB.Command, vilket är rätt sätt att lösa det på. Genom att använda parametrar (helst i samband med stored procedures) så är man automatiskt helt skyddad mot SQL Injections.