Nelle querystring c'è sempre un controllo di questo tipo:
codice:
Function FixSQL(stringa)
stringa = Replace(stringa, "'", "''")
stringa = Replace(stringa, "%", "[%]")
stringa = Replace(stringa, "[", "[[]")
stringa = Replace(stringa, "]", "[]]")
stringa = Replace(stringa, "_", "[_]")
stringa = Replace(stringa, "#", "[#]")
FixSQL = stringa
End function
C'è poi HtmlEncode per rendere innoqui eventuali pezzi di codice inseriti nella pagina.
Nei form c'è il captcha di Google.
Cos'altro si può fare sul codice?