[fabian]

Citat:

Ursprungligen postat av Sony?

I PHP finns mysql_real_escape_string / PDO med prepared statements. Det måste väl finnas i ASP också?

Nej. Och klassisk ASP är ju outdated så det är inget man borde satsa på...

[dAEk]

Citat:

Ursprungligen postat av fabian

Nej.

Jo, det finns visst. Tro det eller ej.

[fabian]

Citat:

Ursprungligen postat av dAEk

Jo, det finns visst. Tro det eller ej.

Jasså? Berätta gärna mer om den?.. Själv har jag byggt egna funktioner på dom sajter som använder klassisk ASP för att hantera detta.

Kolla tråden Funky Functions in ASP på Sitepoint.

http://www.sitepoint.com/forums/show...ctions-in-ASP/

http://www.sitepoint.com/forums/show...ape#post312576

[dAEk]

Citat:

Ursprungligen postat av fabian

Jasså? Berätta gärna mer om den?..

Det jag syftade på var prepared statements. Vad jag vet har det funnits stöd för dessa länge men få vet om det, antagligen för att det är mest hemmasnickare som fortfarande sitter med asp classic.

Koden ser väl ut ungefär såhär:

Kod:

set command = Server.CreateObject("adodb.command")
command.Prepared = true
command.commandText = "select * from table where column = ?"
command.Parameters.Add(command.CreateParameter...)

recordset.Open(command)

Tyvärr kommer jag inte ihåg den exakta syntaxen men det borde bara vara en sökning bort.

[Conny Westh]

Citat:

Ursprungligen postat av dAEk

Det jag syftade på var prepared statements. Vad jag vet har det funnits stöd för dessa länge men få vet om det, antagligen för att det är mest hemmasnickare som fortfarande sitter med asp classic.

Koden ser väl ut ungefär såhär:

Kod:

set command = Server.CreateObject("adodb.command")
command.Prepared = true
command.commandText = "select * from table where column = ?"
command.Parameters.Add(command.CreateParameter...)

recordset.Open(command)

Tyvärr kommer jag inte ihåg den exakta syntaxen men det borde bara vara en sökning bort.

Det är parameteriserad ADO du menar, det är det sättet man ska använda i alla anrop.

Man ska dessutom aldrig lägga någon annan aktiv kod i en webbsida än anrop till förkompilerade moduler (Code-behind) i ASPX och även i gammal ASP ska man kompilera sina SQL-satser i egna klass-komponenter och sedan enbart göra själva anropet i ASP-sidan.

När man använder parameteriserad ADO så är skyddet mot SQL-injections inbyggt så man behöver inte göra något mer.

Detta är en teknik som använts i minst 10 år så det finns ingen ursäkt att köra på med den gamla stilen att skriva aktiv kod i ASP eller ASPX-sidorna.

Här är lite exempel på syntaxen: http://www.w3schools.com/ado/met_com...eparameter.asp