Представьте такое: мне досталась система, написанная на Javascript/ASP/ADO от предшественника. База данных - MS SQL Server 2000
Он максимально нагрузил Javascript кодом для web browserа. Даже sql выражения строятся там, на client site. Все работает, но нет никакой секюрити.
Отсутствует validation вводимых данных в том смысле, что можно вводить куски сторонних sql игнорируя тем самым условия стоящие в исполняемом WHERE . Короче, система абсолютно открыта.
Вопрос к спецам: ЧТО НАДО СДЕЛАТЬ ПРЕЖДЕ ВСЕГО, и ГДЕ (client Javascript, ASP, stored procedures?). Может быть сразу приведете тексты процедур для валидации вводимых данных.