Saludos,

Para solucionar esta vulnerabilidad se puede almacenar los datos del formulario en variables y luego reemplazar, con la instrucción Replace, los caracteres que puedan afectar el script ASP (como la comilla simple ‘) por otros que resulten inofensivos. De esta forma, una consulta SQL segura puede ser:

<%
variable1 = Request.Form("usuario") ‘Guardamos el envío en variables
variable2 = Request.Form("password")
ConsultaSQL="SELECT * FROM usuarios WHERE user= '" + Replace(variable1, "'", "''") + "' AND p_clave = '" + Replace(variable2, "'", "''") + "'"
%>

En este caso las comillas simples son reemplazadas por dos comillas, de manera que siempre habrá un número par de comillas en la variable, evitando de esta forma una intervención en el script.