query injection

[swan]

ciao a tutti,
scusate se inizio sempre con "in ADO.Net" facevo/faccio ma è per farmi capire meglio. Cmq, in Ado.Net c'era la possibilità di utilizzare i Parameters per difendersi da query injection (qualcuno ne faceva riferimento nei post riguardanti problema di update di una stringa contente l'apostrofo), ho visto che in un'altro post c'era un'esempio di come fare un'exec che era tipo:

conn.exec(,"mioCampo = &valore",)

c'è in questo modo un controllo sul valore che non avrei facendo una query:

wsql = "SELECT * FROM WHERE mioCampo = '" & valore & "'"

non è tanto della possibilità che mi droppano una tabella che mi preoccupo visto il programmino che vorrei fare quanto di come controllare l'eventuale errore.

ciao
max

[Ceskho]

Penso non sia il caso di descrivere qui come si faccia un sql injection (l'utente in questione ero io!!) però penso tu sappia di come si fa e quindi ti dico a grandi linee che per evitare un injection devi controllare i caratteri della stringa ed evitare, in maniera particolare, che tra di essi ci siano i caratteri "pericolosi"....una funzione che controlla l'injection non esiste...devi scriverla da te....