Ciao alx_81,
prima di tutto grazie per aver risposto e risolto il mio problema... che era davvero una scemenza :-D
PEr quanto riguarda l'sql injection ho sempre avuto difficoltà a capire come essere del tutto sicuro inq uesto senso.
Adesso per risolvere il problema dell'injection derivante da form utilizzo funzioni come queste:
Function FixSQL(stringa)
stringa = Replace(stringa, "'", "''")
stringa = Replace(stringa, "%", "[%]")
stringa = Replace(stringa, "[", "[[]")
stringa = Replace(stringa, "]", "[]]")
stringa = Replace(stringa, "_", "[_]")
stringa = Replace(stringa, "#", "[#]")
FixSQL = stringa
End function
Il progetto del quale ti sto parlando è realizzato in ASP 3.0 non .NET per il quale ho ancora i tempi un pò lunghi di realizzazione.
Pensavo che utilizzando questa funzione avevo risolto(per quanto è possibile) i rischi derivanti da sql inj, però tu adesso mi dici che la mia query è pericolosa.
Ti riferisci per caso al fatto che ho concatenato le varie righe con la "&_"?
Se il problema èq uesto, eliminandola semplicemente e scrivendo la query tutta di fila pensi che ho almeno aggiustato un pò il tiro?
Grazie mille come sempre.
Ciao Ciao