sql injection

[scura]

Salve a tutti

ho un semplicissimo script che inserisce news in un db access e da un pò di giorni è una lotta continua con qualcuno che si diverte a svuotarlo


Chiudo sempre db e connessione e faccio un semplice replace(str, "'", "''") tutte le volte che passo dei valori ad una query
ma evidentemente non basta


io ho una cosa del genere:

SELECT * from NOME_tabella WHERE id=str;

dove str è numerico

e credo che mi svuotino con

DROP table NOME_tabella

forse devo oltre il replace mettere un controllo su str del tipo Cint(str)???

accetto volentieri consigli

[optime]

se id e' numerico, si', dovrebbe bastare. ctrl che non ci siano altri posti pericolosi

[asva]

cos'è drop.....?

[Fichico]

Per eliminare un database:
DROP DATABASE Nome_Database


Per eliminare una tabella (vengono eliminati anche struttura, attributi ed indici):
DROP TABLE Nome_Tabella


Drop Index
Possiamo eliminare degli indici tramite l’istruzione DROP.
DROP INDEX Nome_Tabella.Nome_Indice

[scura]

ma quindi se faccio il controllo che str sia un campo numerico non mi serve + fare il replace(str, "'", "''") giusto?

[optime]

esatto. ad esempio

str = "DELETE FROM TABELLA1"

ID = CINT(str)

ID vale zero!

controlli che ID sia >0, e solo in quel caso esegui

[scura]

grazie grazie vedi però non tutti i mali vengono per nuocere sto scemo che svuota i db mi ha fatto imparare

[optime]

fa' una cosa. scrivi in un file (con FSO) o in una tabella DB la stringa STR prima di pulirla (con altre info, tipo la login dell'utente, data e ora, IP, ecc) cosi' vedi chi e' il simpaticone!

[scura]

si a sto punto approfondisco

[scura]

solo una cosa

so come creare un file con FSO ma come faccio a registrare un'operazione ad es. la cancellazione di un record? Illuminami