Sicuramente è una mia mancanza, anzi la mia ignoranza ma mi hanno fatto notare che scrivendo una query di questo tipo:
select * tabella where campo='"&'or'&"'
in access vengono estrapolati tutti i risultati della tabella
In poche parole se uno in un campo form che viene controllato scrive 'or' la query lo da per buono perchè tira fuori tutti i record.
Ma è un bug???? Come si risolve?
Thanks Elisa
Si chiama Sql Injection e non è proprio un bug.. è un problema sorto + frequentemente con l'avvento di Internet. Devi sempre fare un replace degli apici in quello che scrivono i tuoi utenti prima di comporre la query sql:
sql = sql.Replace("'", "''")
(lo sostituisci con un doppio apice)
In questo modo l'apice verrà visto come testo di ricerca e non come chiusura del valore.
grazie mille!
Ciao Elisa
Permessi di invio
Rispondi quotando