Hej

Har precis snickrat ihop en ny med hemsida med ASP och MySQL. Vilka säkerhets principer skall man tänkta på? Har läst lite SQL-injection men vet inte riktigt hur eller vad man ska skydda. Något som har några tips?

Byt alltid ut ' mot \' före insättning i databasen och omvänt vid hämtning av data!

Nu är det tyvärr så att ersätta ' inte är skydd nog :-(
Bäst är att nyttja Parametrar och inte dynamiskt skapa en SQL Sats.
Select * from User Where ID = ? eller
Select * from User Where ID = @ID
Är säkrare än:
Select * From User Where ID = '" + stringID + "'

se Sql Parameters för mer info hur du använder dem.

Mvh Johan