Limpado Query String

[tsarri]

Galera tem um site de um amigo meu que foi invadido, alias zuando ne

eu descobri o modo que ele fez isto foi sim na parte de noticias tem a index.asp, quando você clica em cima de alguma noticia, vai para a pagina noti.asp?Id=15 certo, aí que começamos a descobrir porque se eu fizer isto.

www.site.com.br/noti.asp?Id=15+update+tb_noticias+set+titulo='123'

ele vai dar um update em todas as tabelas com o titulo 123

eu tentei fazer uma função que limpasse todos os update insert e tal com o replace mais não deu certo:

Function LimpaLixo( input )

dim lixo

dim textoOK

lixo = array ("select", "drop", ";", "--", "insert", "delete", "xp_", "update")

textoOK = input

for i = 0 to LBound(lixo)

textoOK = replace( textoOK, lixo(i), "")

Next

LimpaLixo = textoOK

End Function

ele continua fazendo o upload, alguém sabe como proteger sobre isto criando uma função que proteja mesmo

vlw

[.Andreia.]

replace()

[filipeflc00]

porque não coloca atraves de request.form??

você cria um INPUT HIDDEN

junto com akela noticia

e faz um click no link com uma função submit()

em javascript

falws

qualquer duvida poste ai