Tengo el siguiente código, e intente evitar la inyección con unos ejemplos que encontre en internet (pocos ya que casi todas las web tienen el mismo). pero me da error.
este es mi códgo sin colocar evitar la inyección.
Formulario........................................ ........
<form id="form1" name="form1" method="post" action="verificar_usuario.asp">
<table width="51%" border="0" align="center" cellpadding="0" cellspacing="4">
<tr>
<td width="24%">Alias:</td>
<td width="76%"><input name="login" type="text" id="login" /></td>
</tr>
<tr>
<td>Clave:</td>
<td><input name="clave" type="password" id="clave" /></td>
</tr>
<tr>
<td> </td>
<td><input type="submit" name="Submit" value="Entrar" /></td>
</tr>
</table>
</form>
verificar_usuario.asp............................. .................................................. ..............
<%
Set oConn = Server.CreateObject("ADODB.Connection")
Set rs = Server.CreateObject("ADODB.Recordset")
oConn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source="&Server.MapPath("usuarios.mdb")&";"
' seleccionamos todos los registros.
sql = "select * from usuarios where login='" & request.form("login") & "' and clave='" & request.form("clave") & "'"
rs.open sql, oConn
if (not rs.eof) then
Dim sNombre
sNombre=rs.Fields("login")
Session("login")=sNombre
response.redirect "index.asp"
else
response.redirect "error.asp"
end if
oConn.Close
rs.close
%>