Okej. så här är problemet -
för att undvika att användare oavsiktligen sabbar layouten genom att använda tecken som " och > i sina noteringar så kör jag Server.HTMLEncode på allt som skrivs ut till sidan, så även på de ställen där jag har en redigerafunktion och tidigare värde skrivs in i formulärfältet

<Input type=text name=bla value=<%=Server.HTMLEncode(request.querystring("namn"))%>
<Input type=text name=blabla value=<%=Server.HTMLEncode(request.querystring("namn"))%>

Men resultatet blir ju här att om användaren då bara redigerar fältet bla och inte blabla och sedan sparar, så följer ju HTML-tecknen för åäö och allt annat med in i databasen. Det är väl okej så långt, men om användaren sedan skall använda sökfunktionen och söka i de data han lagrat i databasen, ex. kanske frågan ser ut så här

SELECT * FROM friend WHERE bla LIKE form_input

om min användare nu söker efter allt som innehåller ett <b>å</b>, så kommer hans poster inte upp för de är i databasen lagrade som &49da; eller någon sådan kod...

Problemet uppfattat? Vad göra..?

Du ska inte köra Server.HTMLEncode på den data du sätter in i databasen utan bara på den data som skrivs ut på sidorna. HTMLEncode gör ju att alla specialtecken som används i HTML konverteras till andra tecken så de inte stör.

När data sedan postas tillbaka till servern kommer dessa tecken inte att finnas eftersom det är tecknen i "klartext", till exempel < som postas. När du sedan sätter in data i databasen kommer dessa tecken att läggas in dit också, i sin ursprungliga form.

HTMLEncode gör alltså bara så att webbläsaren "förstår" HTML koden på rätt sätt.

Sen, för att vara petig är det bra om du anger alla attribut omgivna av citattecken (") och med små bokstäver samt se till att avsluta alla taggar på ett eller annat sätt. Detta medför att du slipper konstiga problem i framtiden.

Till exempel:

<Input type=text name=bla value=<%=Server.HTMLEncode(request.querystring("namn"))%>
blir
<input type="text" name="bla" value="<%=Server.HTMLEncode(request.querystring("namn"))%>" />

Jo... läs frågan igen =) du förstod nog inte riktigt...

så i ett ändraformulär så vill jag skicka med tidigare sparade värden, yes? gör det genom att sätta value= i input-taggen. Men, om användaren har sparat något i stil med <b>">haha, jag äger! </TABLE></TABLE></b> så kommer min layout att pajas.

Lösning: kör Server.HTMLEncode på det som sätts i value= i input-taggen. MEN - om användaren då sparar formuläret utan att ändra det fältet som lästs in och "säkrats" med HTMLEncode så kommer skräpet in i databasen, och blir inte sökbart med vanliga åäö osv..

Det ska inte komma in i databasen om du gjort rätt.

Jag förstod nog vad du menade, men förstår inte hur du lyckas få in den "säkrade" strängen i databasen då all data, även om du använt dig av Server.HTMLEncode, när det postas kommer att genom Request.Form("namn") att returnera texten i klartext.

Är inte problemet något i stil med att du när du tar emot posten gör något liknande
<code>
Dim variabel = Server.HTMLEncode(Request.Form("namn"))

'Sedan sätts variabel in som parameter till en SQL fråga som sparar detta i databasen.
</code>

Svårt att säga utan att ha sett koden som vid postning hämtar data och bearbetar det innan det sätts in i databasen.

Aha - så när man kör en request.form så kodas det automatiskt tillbaka till <>åäö istället för den konstiga koden för dessa tecken, okej.. uppfattat =)

Stämmer bra, var det jag försökte förklara i första posten ;)