Erro de ASPAS no login

[Kibe_Ghost 0]

Olá pessoal! ;) to quebrando a cabeça aqui povão!!!sabe aquele erro q o cara coloca isso ( 'Or '1' = '1 ) no usuario e senha e entra no sistema?Então !! nao consigo resolver !Eis o meu codigo abaixo!<!--#include file="conectar.asp"--><% AbreConexao Dim Sql Dim RS Sql = "SELECT * FROM Admin WHERE login = '" & Request.Form("login") & "'" Sql = Sql & "AND senha='" & Request.Form("senha") & "'" Sql = Replace(login, "'", "''") set Rs = Conexao.Execute(Sql) if not rs.eof then Session("login") = RS("login") Session("email") = RS("email") Session("nivel") = Rs("nivel") Session("idlogin") = RS("idlogin") Response.Redirect "admin.asp" else Response.Redirect "admin.asp" end ifFechaConexao%>Aguardo resposta!!! :D

[rOcKLoCo 0]

Use o Replace....

Sql = "SELECT * FROM Admin WHERE login = '" & Replace(Request.Form("login"),"'","''") & "'" Sql = Sql & "AND senha='" & Replace(Request.Form("senha"),"'","''") & "'"

falowsss

[manga 0]

Para maiores informações consulte:

 

SQL Injection

[WebASP 0]

Cara você tem que dar o replace no campo anes de dar o select saco ou sejastrSQL = "SELECT * FROM TABELA WHERE CAMPO = ' " & Request.Form("CAMPO") & " ';"strSQL = Replace(strSQL,"'","")Ta errado você tem que fazerCampo = Replace(Request.Form("Campo"),"'","")strSQL = "SELECT * FROM TABELA WHERE CAMPO = ' " & Campo & " ';"Pronto resolvidoEu utilizo esta função copia e usa tbmFunction MakeOk(sTrings) MakeOk = Replace(sTrings,"'","") MakeOk = Replace(sTrings,"""","") MakeOk = Replace(MakeOk,Chr(34),"") MakeOk = Replace(MakeOk,Chr(39),"") MakeOk = Trim(MakeOk)End Function Ficaria assimCampo = MakeOk(Request.Form("Campo"))strSQL = "SELECT * FROM TABELA WHERE CAMPO = ' " & Campo & " ';"abraços