arkadaşlar HTML editörde SQL inject mevzusu

arkadaşlar şimdi yaptıgım sitelerde admin panelinde HTML editör koyuyoruz dogal olarak peki sorarım size mesela bir tablo var ve tabloda " işareti var demi bunu nasıl veri tabanına yazdırıyorsunuz ? birde bunu yazarken nasıl bir kod kullanıyorsunuz ben

saldiri = Array("%27", "*", "'", "<", """", ">", "-", "%", "/", "\", "+", "-")
For i=0 to UBound(Saldiri)
sql_veri = Replace(sql_veri, Saldiri(i), "&#" & Asc(Saldiri(i)) & ";", 1, -1, 1)
Next


bu tip bir kod var bunu koydum fakat işime yaramıyor neden derseniz tablolar normal kod yani asc ye cevirmek bir işe yaramıyo sizler bu işlemi nasıl yapıyorsunuz ? yani müşteriye siteyi verdiniz müşteri nasıl istedigi gibi bişey yapıp yüklüyor bu kodlar nedir ?

Execute ile ekleme güncelleme yapıyorum

Şimdiye kadar tabloyla ilgili bir kayıt yaptırmadım açıkcası ama şu şekilde yapabilirsin.

saldiri2 array'i oluşturursun. Bu array ile kontrol ettirirsin. Ama eğer HTML editör kendine ait ise forumlarda kullanılan [ KODE ] [ / KODE ] olayını kullanabilirsin.

Not: saldiri array'in biraz eksik gibi geldi bana

ya o saldırı mevzusu çok önemlide degil saldırı olmasındanda degil adı zaten sayfaya yetkisiz kullanıcı giremiyorda fck editor kullanıyorum bu yüzden malesef dedigin mevzuyu yapamıyorum bunun bir yolu olmalı ama okadar insan var bunu hiç kullanan yokmu fck editorun asp de destegi var ama bunun çözümünü yazmamışlar

arkadaşlar bundan kimse anlamıyormu ya ?