Så nu när vänliga människor öppnat ögonen på mig för SQL injection problematiken kom jag plötsligt att tänka på, då jag satt här och skrev lite på en sida med response.redirect -

vad skulle hända om jag har koden som nedan, och någon skulle leka med min querystring?

response.redirect "forstasidan.asp?datum=" & request.QueryString("datum")

Vad skulle hända om någon exempelvis i frågesträngen skrev ett " och sedan annan ASP-kod efteråt, är det samma princip som SQL injection att jag måste kolla allt som jag sätter in i en response också så att det inte finns inmatat några " som kan bryta den eller??

Nej, du kan inte skjuta in ASP kod som exekveras, så det är lugnt. Det är ju nämligen så att det är strängar du arbetar med.

så även om någon skulle modifiera min sträng till att innehålla en " char(34) så skulle det inte bryta min kod? för det borde ju innebära att min response.redirect argument såg ut som

response.redirect "sida.asp?egenskap=" & request.querystring("test")

om värdet av request.querystring("test") vore:
finurlig" HAHA här kommer min egen onda kod!

så borde ju det "kompilerat" se ut... (okej, inte maskinkod, men du fattar)

response.redirect "sida.asp?egenskap=finurlig" HAHA här kommer min egen onda kod!

Det fungerar inte så, ingenting ersätts i koden utan kompilatorn hanterar allting i minnet och request.querystring("test") är en variabel i minnet.

Alltså det blir inte så att kompilatorn ersätter request.querystring("test") med det variabeln innehåller och sedan exekverar koden.