私の Web サイトは SQL インジェクション攻撃を受けています。私の Web 開発者は、彼のエスケープ スクリプトで十分であると言って、パラメータ化されたクエリを認めることを拒否します。古典的なASPで書かれた次のクエリをパラメータ化されたクエリに変換する方法を示すことで、誰か助けてもらえますか?
conn.Execute "insert into tblGROUPcomments ([thecomment], [date_of_entry], [groupid], [submittedby]) " _
& "values ('" _
& Server.HTMLEncode(cleanuptext(request.form("txtcomments"))) & _
"','" & FormatMediumDate(date()) & _
"','" & session("groupid") & _
"','" & session("userid") & "')"
session("errmessageT") = ""
session("varcommentT") = ""
response.redirect("../showallcommentsGROUPS.asp?gid=" & session("groupid")) & "#comments"