Tjena gurus!

Jag läste en artikel igår i en tidning jag fick om säkerhet i SQL-uttryck/anrop. Detta har jag aldrig riktigt tänkt, dvs

1) om man i ett sidanrop har en adress typ: "page.asp?ID=34" så har man ju antagligen en request.querystring i asp-koden som stoppar in värdet i en SQL_SELECT-sats.
OM nu en illasinnad användare skriver till lite elakheter i Adressfältet, typ "AND DELETE WHERE ID=33" så kan ju detta få ganska läbbiga konsekvenser. Nu kanske inte adressanropet ser ut just så här, men ni förstår kanske principen.
FRÅGA: Någon som vet spontant om detta är en säkerhetsrisk, och hur kan man isf förhindra detta?

2) Nå'n som vet något forum/artikel som behandlat detta?

// Pelle

http://www.pellesoft.se/login/articles/databas/quotationmark.asp