1、lt%#39防SQL注入定義部份Dim Fy_Post，F(xiàn)y_Get，F(xiàn)y_In，F(xiàn)y_Inf，F(xiàn)y_Xh，F(xiàn)y_db，F(xiàn)y_dbstr#39自定義需要過濾的字串，用 quotquot 分隔Fy_In = quot#39andexecinsertselectdeleteupdatecount*%chrmidmastertruncatechardeclarequot#39%lt%Fy_Inf = splitFy_In，quotquot#39。

2、一般的隔開，然后再判斷。

3、防止aspsql注入的方法有很多，需要嚴(yán)格的字符串過濾在傳遞URL參數(shù)和提交表單時(shí)，必須對提交的內(nèi)容進(jìn)行字符串過濾，網(wǎng)站中使用的那些第三方插件必須是安全的，只有在沒有漏洞的情況下才能使用，比如上傳組件和使用的在線編輯器上傳文件時(shí)必須對文件進(jìn)行嚴(yán)格的檢測，這種只判斷文件后綴的操作方法是不正確的。

4、如果是字符串，那么你要過濾掉sql里面敏感的字符，比如單引號，雙引號之類2過濾sql文 你寫的是 select * from username where type= quot type 要使用戶type 為 quot1 or type=adminquot，你猜猜是什么結(jié)果 防止注入概括起來其實(shí)就是 1 類型檢查 2 變量范圍檢查 3 特殊字符過濾 4 sql關(guān)鍵字過。

5、對于SQLServer提供程序，攻擊者只需在新命令前面加上分號攻擊者可以通過這種方式刪除其他表的內(nèi)容，甚至可以調(diào)用SQLServer的系統(tǒng)存儲過程xp_cmdshell來命令和執(zhí)行任意程序 攻擊者在文本框中輸入以下內(nèi)容，其目標(biāo)是刪除Customers表中的所有行 倫春從客戶中刪除* 第二，預(yù)防 如何防止SQL注入襲擊？需要記住幾點(diǎn)。

6、Check_SQLasp lt Sql_in=quotand or on in select insert update delete exec declare #39quot#39防止GET方法 #39區(qū)分出注入字符 Sql=SplitSql_in，quotquot#39如果GET過來的數(shù)據(jù)不為空 If RequestQueryStringltquotquot Then #39逐一取出提交過來的參數(shù) For Each Sql_Get In。

7、id = cintrequestquerystringquotidquot同理，凡是數(shù)字型的，一律進(jìn)行判斷是否數(shù)字或強(qiáng)制轉(zhuǎn)換如果是字符型的，要寫入SQL語句的，一律對單引號進(jìn)行轉(zhuǎn)義，如 SQLserver和Access中，替換成兩個單引號MYSQL中替換成 \#39 等可以寫成一個固定的函數(shù)來代替request，可以達(dá)到防止注入的目的網(wǎng)上也有一些通用。

8、Call infobackquot請不要嘗試非法注入quotEnd If Next Next End If If RequestFormltquotquot Then For Each Sql_Post In RequestForm For Sql_Data = 0 To UBoundSqlIf InStrLCaseRequestFormSql_Post， SqlSql_Datalt0 Then Call infobackquot請不要嘗試非法注入quotEnd If Next。

9、#39 === #39過濾HTML代碼 #39 === Function RemoveHTMLstrTextstrText=strTextquotquotDim RegEx Set RegEx = New RegExp RegExPattern = quotlt^*quotRegExGlobal = True RemoveHTML = RegExReplacestrText， quotquotEnd Function #39 === #39過濾腳本代碼 #39 ===。

10、在你接收url參數(shù)的時(shí)候 過濾特殊字符就可以了 veryeasy~~給你一個函數(shù) #39___#39函數(shù)名SetRequest #39作 用防止SQL注入 #39ParaName參數(shù)名稱字符型 #39ParaType參數(shù)類型數(shù)字型1表示是數(shù)字，0表示為字符#39RequestType請求方式0直接請求，1Request請求，2post請求，3get請求，4Cookies請求，5。

11、加一句 result_strion=replaceresult_strion，quot#39 or 1=1quot，quotquot 你試試看。

12、SQL注入，一般由 request 提交而來，所以過濾 request參數(shù)即可 比如，正常獲取 id 為 requestquotidquot ，獲取后，對其進(jìn)行強(qiáng)制轉(zhuǎn)為int型，如 id = cintrequestquerystringquotidquot 同理，凡是數(shù)字型的，一律進(jìn)行判斷是否數(shù)字或強(qiáng)制轉(zhuǎn)換。

13、給你個通用的sql防注入代碼 關(guān)鍵是過濾 #39 和括號 Dim Fy_Post，F(xiàn)y_Get，F(xiàn)y_cook，F(xiàn)y_In，F(xiàn)y_Inf，F(xiàn)y_Xh，F(xiàn)y_db，F(xiàn)y_dbstr，aa On Error Resume Next Fy_In = quot#39execinsertselectdeleteupdatecountchrtruncatechardeclarescript*charsetquotaa=quotheiketxtquot #39如。

14、訪問了RequestForm 變量之后，數(shù)據(jù)就 全部加載完了， 不能調(diào)用 BinaryRead 沒有意義檢查一下代碼，是否在BinaryRead函數(shù)調(diào)用之前又 寫了訪問Request 的語句 可是試試這種做法你可以把注入寫成一個函數(shù)來調(diào)用，如果需要注入就調(diào)用函數(shù)，我一般都是這樣調(diào)用的例如需要防注入的。

15、在生成sql語句時(shí)不要把參數(shù)直接用+號的形式寫在sql里，用 cmdparamater加入?yún)?shù)這樣可以防sql注入。

16、lt 部份代碼Function HTMLEncodefStringfString=replacefString，quotquot，quot#59quotfString=replacefString，quotltquot，quotltquotfString=replacefString，quotquot，quotquotfString=replacefString，quot\quot，quot\quotfString=replacefString，quotquot，quot#45#45quotfString=replacefString，CHR9，quot#9quotfString=replace。

17、1代碼的嚴(yán)謹(jǐn)，尤其是與數(shù)據(jù)庫鏈接的代碼，現(xiàn)在一般都是寫在webconfig中，這在一定的程度上也起到了防攻擊2你的數(shù)據(jù)庫模型設(shè)計(jì)的更加嚴(yán)謹(jǐn)一些，一個是增加可讀性，一個是對關(guān)鍵字段的識別3當(dāng)然，還有其他一些防止sql注入式攻擊的手段，這些都是你在平時(shí)寫代碼的時(shí)候不自覺的都會加入這些元素。