[Resolvido] código p/ evitar sql injection dando pau!
Pessoal, ao testar o que o usuário digitou em um formulário p/ ver se não está fazendo um sql injection eu recebo uns caracteres estranhos onde possui acentuação. Por exemplo, ao digitar "hélica" ele volta "h�lica". Como no mesmo formulário eu estou fazendo upload de arquivos, estou usando form enctype="multipart/form-data".
Eu uso o código a seguir para verificar:
engine = Upload.Form("motor")
engine = LimparTexto(engine)
function LimparTexto(str)
str = trim(str)
str = lcase(str)
str = replace(str,"=","")
str = replace(str,"'","")
str = replace(str,"""""","")
str = replace(str," or ","")
str = replace(str," and ","")
str = replace(str,"(","")
str = replace(str,")","")
str = replace(str,"<","[")
str = replace(str,">","]")
str = replace(str,"update","")
str = replace(str,"-shutdown","")
str = replace(str,"--","")
str = replace(str,"'","")
str = replace(str,"#","")
str = replace(str,"$","")
str = replace(str,"%","")
str = replace(str,"¨","")
str = replace(str,"&","")
str = replace(str,"'or'1'='1'","")
str = replace(str,"--","")
str = replace(str,"insert","")
str = replace(str,"drop","")
str = replace(str,"delet","")
str = replace(str,"xp_","")
str = replace(str,"select","")
str = replace(str,"*","")
LimparTexto = str
end functionAlguma dica de onde esse erro pode estar vindo?
já tentei colocar o charset=utf8 no topo do código. não adiantou.
Algum código p/ evitar sql injection que vcs sugerem?
Obrigado!
Discussão (2)
Carregando comentários...