Evitando SQL Injection

Erros comuns:
Não fazer validação da entrada de dados no formulário permitindo caracteres inválidos;
Construir instruções SQL diretamente da entrada do usuário;
Permitir que mensagens de erros mostrem informações sobre a estrutura dos dados;
Como evitar:
Estabeleça uma política de segurança rígida e criteriosa limitando o acesso dos seus usuários. Isto quer dizer que você deve dar somente os poderes necessários aos seus usuários. Não de acesso de escrita a tabelas e dê somente acesso as tabelas que o usuário vai precisar.
Fazer validação das entradas de dados evitando caracteres inválidos como: (') , (--) e (;) nem palavras reservadas como insert , drop , delet.
Nunca concatene entrada de usuário que não seja validada. A concatenação de cadeia de caracteres é o ponto principal de entrada de injeção de script;

Alguns exemplos de funções que ajudam a melhorar a segurança contra SQL injection:
- Substituindo o apóstrofe(') pelo duplo apóstrofe ('')
<%
Function ExpurgaApostrofe(texto) ExpurgaApostrofe = replace( texto , "'" , "''")
End function
%>

- Rejeitando os dados maliciosos:

<%
Function ValidaDados( input ) lixo = array ( "select" , "insert" , "update" , "delete" , "drop" , "--" , "'") ValidaDados = true for i = lBound (lixo) to ubound(llixo) if ( instr(1 , input , lixo(i) , vbtextcompare ) <> 0 ) then ValidaDados = False exit function} end if next end function
%>

A Microsoft lançou um kit de ferramentas que pretende auxiliar desenvolvedores e administradores de websites a bloquear e erradicar a recente onda de ataques de SQL Injection (Injeção SQL).
As ferramentas, que são voltadas para desenvolvedores web e administradores de TI, buscam auxiliar a identificação de pontos frágeis em scripts ASP que poderiam ser explorados em um ataque de injeção SQL.
As ferramentas são:
Scrawlr - Examina os arquivos do site e