He escrito algún código para generar una consulta SQL en ASP clásico. No estoy seguro de si es seguro o no:
Set adoCon = Server.CreateObject("ADODB.Connection")
adoCon.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source=" & Server.MapPath(dbfile)
strSQL = "SELECT * FROM Table WHERE name_field LIKE ?"
Set cmd1 = Server.CreateObject("ADODB.Command")
cmd1.ActiveConnection = adoCon
cmd1.CommandText = strSQL
cmd1.CommandType = 1 'adCmdText
cmd1.Parameters(0) = Request("odQuery") & "%"
Set rs = cmd1.Execute()
Luego continúo para mostrar los resultados de rs
.
¿Esto es seguro? (Sé que, por ejemplo, puedo poner un signo de porcentaje al comienzo de odQuery
y hacer que el código devuelva más registros).