Sql injection su post

[grifongi]

Buongiorno a tutti!
Sto cercando di rendere + sicura un'applicazione asp collegata a databese access......
Il mio problema e legato a un SQL-INJECTION inserito sull'indirizzo del browser: mettendo %20'%20or%20' dopo l'url mi vendono visualizzati tutti gli articoli contenuti nel db invece dei soli appartenenti alla categoria che mi interessa....

Come faccio a risolvere questo problema e similari????

Per esempio la pagina è prodotti.asp?categoria=matite
mettendo prodotti.asp?categoria=matite%20'%20or%20' mi vinene visualizzato tutto


Spero di essermi spiegato bene e vi ringrazio anticipatamente per l'aiuto

[optime]

guarda qui http://www.15seconds.com/Issue/020701.htm

[grifongi]

Grazie per l'aiuto!!

Purtroppo però con questo medoto l'indicizzazione sui motori di ricerca verrebbe vanificata! L'accesso diretto alla pagina risulterebbe impossibile!...credo...
Inoltre io ho una pagina iniziale "default.asp" che con un redirect mi manda alla pagina "protetta".....con questo metodo non riesco più ad accedervi....l'unico modo è di andare in una pagina "non protetta" del sito e cliccare sul link che mi manda alla pagina con la lista dei prodotti dinamici!
Si riesce a fare diversamente? ...o sono io che non sono capace??

[Gioba66]

nella pagina che recupera i dati, metti una riga per ciascun campo recuperato:

campo = replace(campo, "'", "''")