两个小函数让你的ASP程序对SQL注入免疫！(2)

nothis(1)="xp_cmdshell" 
nothis(2)="/add" 
nothis(3)="exec%20master.dbo.xp_cmdshell" 
nothis(4)="net localgroup administrators" 
nothis(5)="select" 
nothis(6)="count" 
nothis(7)="asc" 
nothis(8)="char" 
nothis(9)="mid" 
nothis(10)="''" 
nothis(11)=":" 
nothis(12)="""" 
nothis(13)="insert" 
nothis(14)="delete" 
nothis(15)="drop" 
nothis(16)="truncate" 
nothis(17)="from" 
nothis(18)="%" 
errc=false 
for iii= 0 to ubound(nothis) 
if instr(qs,nothis(iii))<>0 then 
errc=true 
end if 
next 
if errc then 
Response.Write("对不起，非法URL地址请求!") 
response.end 
end if 

*************************************************************** 

当然这方法做得太“绝”了，但是我也是没有办法啊。这个方法是在网上看到的，运行于一个网站上，现在一切良好。为了安全我只能这样。我想只要有关SQL的敏感单词都进行过滤掉应该没有什么吧，当然像楼主的做到那一步是基本上可以了，可以修补一下用用。记得我最初用的是《SQL注入天书》上面提供的防范方法，后来才改用这个。 
将我以前用的代码也帖出来供参考，大家有兴趣可以去百度或GOOGLE中搜索一下《SQL注入天书》了解 

使用这个函数，对客户端提交来的数据进行验证。。。 

<% 
Function SafeRequest(ParaName,ParaType) 
''--- 传入参数 --- 
''ParaName:参数名称-字符型 
''ParaType:参数类型-数字型(1表示以上参数是数字，0表示以上参数为字符) 

Dim ParaValue 
ParaValue=Request(ParaName) 
If ParaType=1 then 
If not isNumeric(ParaValue) then 
Response.write "参数" & ParaName & "必须为数字型！" 
Response.end 
End if 
Else 
ParaValue=replace(ParaValue,"''","''''") 
End if 
SafeRequest=ParaValue 
End function%>