proteger de sql injecting

como protejo mis formularios para que no puedan hacerlo?
tengo entendido que el sql injecting es metiendo lineas sql en los campos. como lo evito?

Obviamente, lo evitas filtrando el contenido del campo antes de enviarlo a la base de datos.

En el hilo de arriba de todo,
http://www.forosdelweb.com/f15/bibli...utinas-238829/

tienes ejemplos usando replace.

reformulo mi pregunta, que debo impedir que escriban?

Function killChars(strWords)
dim badChars
dim newChars

badChars = array("xp_", "<", ">","--", ";--", ";", "/*", "*/", "@@","@", "char", "nchar", "varchar", "nvarchar", "alter", "begin", "cast", "create", "cursor", "declare", "delete", "drop", "exec", "execute", "fetch", "insert","kill", "open", "select", "sys", "sysobjects", "syscolumns", "table", "update","truncate","dim","java", "script","'","´","href","content-transfer-encoding","quoted-printable","content-type","subject:","bcc:","x-mailer")
newChars = strWords

for i = 0 to uBound(badChars)
newChars = replace(newChars, badChars(i), "")
next

killChars = newChars
End Function

vale con esto me hago una idea, gracias

Bueno, yo pienso que no podemos reemplazar tantos caracteres por una cadena vacía, no puedo llegar donde el cliente y decirle: "no puedes escribir > < @ porque esos datos no te los guarda"

La solución depende de varios factores, por ejemplo, si uso SQL Server como backend entonces utilizo procedimientos almacenados y los parámetros se los paso por objectos Command

También podrías "escapar" los caracteres (en caso que la aplicación sea web), por ejemplo:

Quita el caracter + del código, lo agregue porque el foro reemplaza las cadenas escapadas por el resultado de la misma

El problema real está en la comilla sencilla, podrías reemplazar o de igual forma escapar lo reemplazar por dos comillas.

muchas gracias valery-net