Ubuntu Sverige

Hej.

Jag sitter och skall förhindra SQL injections vilket är förhållandevis enkelt. Jag tillåter endast t.ex. stora, små, space och siffror.

Men jag vill t.ex. att info-fält skall få innehålla '%|"&@-tecken.

Jag lekte att base64-koda allt innan jag skickade över datat till sql-servern där jag dekoda skiten och det blev inte lyckat.

Hur överför ni tecken som normalt sätt MySQL skulle tolka som kommande, avslut av kommando och liknande och sparar dem som värden i databasen?

Blir inte klok på detta

och varför lyckas SMF skjuta in mitt meddelande   jag angav både ' som avslut av strängen och | som kommando-avslutning.

Jag tror ju även här så kodas texten om och sparas på annat sätt.. fast jag kan inte php så det känns enklare att fråga dem som vet

rancor skrev: Hej.
Jag sitter och skall förhindra SQL injections vilket är förhållandevis enkelt. Jag tillåter endast t.ex. stora, små, space och siffror.
Men jag vill t.ex. att info-fält skall få innehålla '%|"&@-tecken.
Jag lekte att base64-koda allt innan jag skickade över datat till sql-servern där jag dekoda skiten och det blev inte lyckat.
Hur överför ni tecken som normalt sätt MySQL skulle tolka som kommande, avslut av kommando och liknande och sparar dem som värden i databasen?

Blir inte klok på detta

Jag skulle nog kontrollera indata med regular expressions och se om förbjudna mönster förekommer.
Vilker språk använder du dig utav?

magicquote
addslashes

Jag använder ASP 3.0 och för tillfället har jag löst problemet såhär.