[Sql Server] credo problema sql injection

[mpr79]

ho un valore letto da un database che è dentro un campo testo (desart) e stampato a video è questo qua:
ADESIVO "ATTENZIONE" IN 5 LINGUE
se faccio una insert di questo campo testo che contiene questo valore in un database sql l'insert funziona (ovvero inserisce il valore) ma inserisce solo la parola ADESIVO non appena trova " si blocca.
come posso risolvere?
io guardando su internet e sui form avevo messo così:
...
desart = request.form("desart")
...
e poi nella insert...
replace(desart,"'","''")

ma non basta a quanto pare...... come posso mettere ?

grazie

[optime]

come fai la INSERT?

[mpr79]

qry2 = "begin transaction" & vbcrlf
qry2 = qry2 & "INSERT INTO dbo.DOC_DETT ( DOCODCLI , DODESART , DONUMDOC ) "
qry2 = qry2 & "VALUES ( " + replace(docodcli,"'","''") + " , '" + replace(desart,"'","''") + "' , " + replace(donumdoc,"'","''") + " ) " & vbcrlf
qry2 = qry2 & "if @@error <> 0 begin rollback RETURN end" & vbcrlf
qry2 = qry2 & "COMMIT TRANSACTION" & vbcrlf



dove sbaglio??

[optime]

1. impara ad usare il tasto # o PHP per inserire il codice, altrimenti non si capisce niente
2. fatti stampare il valore di qry2 prima di eseguirlo e postalo

[comas17]

Si continua qui: http://forum.html.it/forum/showthrea...readid=1398054

Chiudo