Oxkjær - jeg laver også selv en del i klassisk ASP og har selv været ude for noget af det samme. Og det VAR SQL injections!
Det du skal skynde dig at gøre er, at sørge for at ALLE input bliver renset. Der må IKKE slippe karakterer igennem, som kan misbruges til injections. Der er mange måder du kan gøre det på - mere eller mindre omfattende, men bare det at fjerne alle de mest almindelige tegn, der misbruges (som ' < > osv) kan du stoppe mange hacker forsøg. Gør det i dag! (hvis du ikke allerede har gjort det :))
Med "input" er det iøvrigt vigtigt at huske, at jeg mener ALLE input! Ikke bare almindelige formularer og den slags - også cookies, session varianler osv. ALT! Du må ikke eksekvere noget som helst på serveren, uden at du er HELT sikker på, der ikke er sluppet injections med!! :)
En anden vigtig ting er at have en backup af koden, som hurtigt kan installeres på sitet! Jeg taler af erfaring. Uanset hvor striks man er med input-kontrol osv. kan der altig være et sikkerhedshul på serveren der kan udnyttes.
Så hvis du sørger for at have løbende backup af din database, og har mulighed for at geninstallere dit site, så er du hurtigt oppe af køre igen efter det næste angreb.
Renser du også input fra Cookies (hvis det bruges)? :)
- Det er der mange der glemmer og det var da også først for nyligt, at jeg selv blev opmærksom på, at man jo også den vej kan snige kode ind, hvis der altså er nogle steder hvor cookie data anvendes i server eksekveringer. En cookie er jo ligeså let at ændre i som en URL.
En lidt mere sikker metode er en possitiv liste - gerne for hvert enkelt felt, i stedet for filtre. Men det er lidt mere omstændigt at sætte op synes jeg.