1、lt%#39防SQL注入定義部份Dim Fy_Post，F(xiàn)y_Get，F(xiàn)y_In，F(xiàn)y_Inf，F(xiàn)y_Xh，F(xiàn)y_db，F(xiàn)y_dbstr#39自定義需要過濾的字串，用 quotquot 分隔Fy_In = quot#39andexecinsertselectdeleteupdatecount*%chrmidmastertruncatechardeclarequot#39%lt%Fy_Inf = splitFy_In，quotquot#39。

2、一般的隔開，然后再判斷。

3、防止aspsql注入的方法有很多，需要嚴(yán)格的字符串過濾在傳遞URL參數(shù)和提交表單時(shí)，必須對(duì)提交的內(nèi)容進(jìn)行字符串過濾，網(wǎng)站中使用的那些第三方插件必須是安全的，只有在沒有漏洞的情況下才能使用，比如上傳組件和使用的在線編輯器上傳文件時(shí)必須對(duì)文件進(jìn)行嚴(yán)格的檢測(cè)，這種只判斷文件后綴的操作方法是不正確的。

4、如果是字符串，那么你要過濾掉sql里面敏感的字符，比如單引號(hào)，雙引號(hào)之類2過濾sql文 你寫的是 select * from username where type= quot type 要使用戶type 為 quot1 or type=adminquot，你猜猜是什么結(jié)果 防止注入概括起來其實(shí)就是 1 類型檢查 2 變量范圍檢查 3 特殊字符過濾 4 sql關(guān)鍵字過。

5、對(duì)于SQLServer提供程序，攻擊者只需在新命令前面加上分號(hào)攻擊者可以通過這種方式刪除其他表的內(nèi)容，甚至可以調(diào)用SQLServer的系統(tǒng)存儲(chǔ)過程xp_cmdshell來命令和執(zhí)行任意程序 攻擊者在文本框中輸入以下內(nèi)容，其目標(biāo)是刪除Customers表中的所有行 倫春從客戶中刪除* 第二，預(yù)防 如何防止SQL注入襲擊？需要記住幾點(diǎn)。

6、Check_SQLasp lt Sql_in=quotand or on in select insert update delete exec declare #39quot#39防止GET方法 #39區(qū)分出注入字符 Sql=SplitSql_in，quotquot#39如果GET過來的數(shù)據(jù)不為空 If RequestQueryStringltquotquot Then #39逐一取出提交過來的參數(shù) For Each Sql_Get In。

7、id = cintrequestquerystringquotidquot同理，凡是數(shù)字型的，一律進(jìn)行判斷是否數(shù)字或強(qiáng)制轉(zhuǎn)換如果是字符型的，要寫入SQL語(yǔ)句的，一律對(duì)單引號(hào)進(jìn)行轉(zhuǎn)義，如 SQLserver和Access中，替換成兩個(gè)單引號(hào)MYSQL中替換成 \#39 等可以寫成一個(gè)固定的函數(shù)來代替request，可以達(dá)到防止注入的目的網(wǎng)上也有一些通用。

8、Call infobackquot請(qǐng)不要嘗試非法注入quotEnd If Next Next End If If RequestFormltquotquot Then For Each Sql_Post In RequestForm For Sql_Data = 0 To UBoundSqlIf InStrLCaseRequestFormSql_Post， SqlSql_Datalt0 Then Call infobackquot請(qǐng)不要嘗試非法注入quotEnd If Next。

9、#39 === #39過濾HTML代碼 #39 === Function RemoveHTMLstrTextstrText=strTextquotquotDim RegEx Set RegEx = New RegExp RegExPattern = quotlt^*quotRegExGlobal = True RemoveHTML = RegExReplacestrText， quotquotEnd Function #39 === #39過濾腳本代碼 #39 ===。

10、在你接收url參數(shù)的時(shí)候 過濾特殊字符就可以了 veryeasy~~給你一個(gè)函數(shù) #39___#39函數(shù)名SetRequest #39作 用防止SQL注入 #39ParaName參數(shù)名稱字符型 #39ParaType參數(shù)類型數(shù)字型1表示是數(shù)字，0表示為字符#39RequestType請(qǐng)求方式0直接請(qǐng)求，1Request請(qǐng)求，2post請(qǐng)求，3get請(qǐng)求，4Cookies請(qǐng)求，5。

11、加一句 result_strion=replaceresult_strion，quot#39 or 1=1quot，quotquot 你試試看。

12、SQL注入，一般由 request 提交而來，所以過濾 request參數(shù)即可 比如，正常獲取 id 為 requestquotidquot ，獲取后，對(duì)其進(jìn)行強(qiáng)制轉(zhuǎn)為int型，如 id = cintrequestquerystringquotidquot 同理，凡是數(shù)字型的，一律進(jìn)行判斷是否數(shù)字或強(qiáng)制轉(zhuǎn)換。

13、給你個(gè)通用的sql防注入代碼 關(guān)鍵是過濾 #39 和括號(hào) Dim Fy_Post，F(xiàn)y_Get，F(xiàn)y_cook，F(xiàn)y_In，F(xiàn)y_Inf，F(xiàn)y_Xh，F(xiàn)y_db，F(xiàn)y_dbstr，aa On Error Resume Next Fy_In = quot#39execinsertselectdeleteupdatecountchrtruncatechardeclarescript*charsetquotaa=quotheiketxtquot #39如。

14、訪問了RequestForm 變量之后，數(shù)據(jù)就 全部加載完了， 不能調(diào)用 BinaryRead 沒有意義檢查一下代碼，是否在BinaryRead函數(shù)調(diào)用之前又 寫了訪問Request 的語(yǔ)句 可是試試這種做法你可以把注入寫成一個(gè)函數(shù)來調(diào)用，如果需要注入就調(diào)用函數(shù)，我一般都是這樣調(diào)用的例如需要防注入的。

15、在生成sql語(yǔ)句時(shí)不要把參數(shù)直接用+號(hào)的形式寫在sql里，用 cmdparamater加入?yún)?shù)這樣可以防sql注入。

16、lt 部份代碼Function HTMLEncodefStringfString=replacefString，quotquot，quot#59quotfString=replacefString，quotltquot，quotltquotfString=replacefString，quotquot，quotquotfString=replacefString，quot\quot，quot\quotfString=replacefString，quotquot，quot#45#45quotfString=replacefString，CHR9，quot#9quotfString=replace。

17、1代碼的嚴(yán)謹(jǐn)，尤其是與數(shù)據(jù)庫(kù)鏈接的代碼，現(xiàn)在一般都是寫在webconfig中，這在一定的程度上也起到了防攻擊2你的數(shù)據(jù)庫(kù)模型設(shè)計(jì)的更加嚴(yán)謹(jǐn)一些，一個(gè)是增加可讀性，一個(gè)是對(duì)關(guān)鍵字段的識(shí)別3當(dāng)然，還有其他一些防止sql注入式攻擊的手段，這些都是你在平時(shí)寫代碼的時(shí)候不自覺的都會(huì)加入這些元素。