Asp de ziyaretçinin yorumunda yazdığı html kodunu pasif yapmak gereklidir.Güvenlik açısından yorumlarda yazılan bir html yönlendirme kodu başınızı ağırtabilir.Bunun için ziyaretçi veye üyemiz yorumda bir html kodu yazdığında bunu şöyle pasif yaparız..
form=Trım(Server.HTML Encode(request.form("form")))
Burada HTML Encode zararlı html kodlarını ayıklamaya yarar.
Hazır zararlı kodlardan bahsetmişken or=or ile giriş yapılmasınıda önleyelim..Konu tamamlansın,
<%form =replace(form," ' "," ")%>
Sql incejtion'da dahildir buna.Eğer Query String'i işlettiğimiz sayfada aldığımız QueryString'î kontrol etmezsek '; drop table gibi bir komutla SQL komutumuz olmadığı halde kodu işletir ve tablo içindeki verileri yokeder eğer ID numarası olarak alıyorsak <% IFNOT ISnumeric(form)Then response.end%> yeterli olacaktır..
Kolay gelsin.
just code it!