1、防止aspsql注入的方法有很多，需要嚴(yán)格的字符串過(guò)濾在傳遞URL參數(shù)和提交表單時(shí)，必須對(duì)提交的內(nèi)容進(jìn)行字符串過(guò)濾，網(wǎng)站中使用的那些第三方插件必須是安全的，只有在沒(méi)有漏洞的情況下才能使用，比如上傳組件和使用的在線編輯器上傳文件時(shí)必須對(duì)文件進(jìn)行嚴(yán)格的檢測(cè)，這種只判斷文件后綴的操作方法是不正確的。

2、給你個(gè)通用的sql防注入代碼 關(guān)鍵是過(guò)濾 #39 和括號(hào) Dim Fy_Post，F(xiàn)y_Get，F(xiàn)y_cook，F(xiàn)y_In，F(xiàn)y_Inf，F(xiàn)y_Xh，F(xiàn)y_db，F(xiàn)y_dbstr，aa On Error Resume Next Fy_In = quot#39execinsertselectdeleteupdatecountchrtruncatechardeclarescript*charsetquotaa=quotheiketxtquot #39如。

3、把=和or號(hào)替換成空就可以了，把 Requestquotreg_nickquot 改成 replaceRequestquotreg_nickquot，quot=quot，quotquot 當(dāng)然SQL注入問(wèn)題遠(yuǎn)不止這麼簡(jiǎn)單，多去網(wǎng)上查查什麼叫SQL注入，像%，AND，OR，及一些SQL關(guān)鍵字都要過(guò)濾掉 要不你試試把語(yǔ)句改成這樣試試，這樣那些注入字符應(yīng)該就會(huì)報(bào)錯(cuò)無(wú)效了 sql=quot。

4、如果是字符串，那么你要過(guò)濾掉sql里面敏感的字符，比如單引號(hào)，雙引號(hào)之類(lèi)2過(guò)濾sql文 你寫(xiě)的是 select from username where type= quot type 要使用戶type 為 quot1 or type=adminquot，你猜猜是什么結(jié)果 防止注入概括起來(lái)其實(shí)就是 1 類(lèi)型檢查 2 變量范圍檢查 3 特殊字符過(guò)濾 4 sql關(guān)鍵字過(guò)濾。

5、在每個(gè)SQL語(yǔ)句那寫(xiě)SQL過(guò)濾還有用SQL數(shù)據(jù)庫(kù)加上補(bǔ)丁，把16位的密碼轉(zhuǎn)成32位把網(wǎng)站上所有寫(xiě)入權(quán)限都關(guān)了。

6、lt！post防止注入 lt dim sql_injdata SQL_injdata = quot#39andexecinsertselectdeleteupdatecount*%chrmidmastertruncatechardeclarequotIf RequestFormltquotquot Then For Each Sql_Post In RequestForm For SQL_Data=0 To UboundSQL_injif instrRequestFormSql_Post。

7、注入攻擊能得逞是因?yàn)樵谠蠸QL語(yǔ)句中加入了新的邏輯，如果使用PreparedStatement來(lái)代替Statement來(lái)執(zhí)行SQL語(yǔ)句，其后只是輸入?yún)?shù)，SQL注入攻擊手段將無(wú)效，這是因?yàn)镻reparedStatement不允許在不同的插入時(shí)間改變查詢的邏輯結(jié)構(gòu)，大部分的SQL注入已經(jīng)擋住了，在WEB層我們可以過(guò)濾用戶的輸入來(lái)防止SQL注入比如用Filter來(lái)過(guò)濾全局的表單。

8、return falseelse ifpassword==quotquot alertquot密碼還沒(méi)寫(xiě)quotreturn false 第二種 ASP檢驗(yàn)法 你可以把你的代碼改成如下格式 username=requestquotusernamequotpwd=requestquotpwdquotif instrusername，quot#39quotlt0 or instr。

9、lt function HTMLEncode2fStringfString = ReplacefString， CHR13， #39#39#39fString = ReplacefString， CHR10 CHR10， #39#39ltPltP#39#39fString = ReplacefString， CHR10， #39#39ltBR#39#39HTMLEncode2 = fString end function #39二次判斷，防止屏蔽JS后提交數(shù)據(jù) sex=trimrequestform。

10、在你接收url參數(shù)的時(shí)候 過(guò)濾特殊字符就可以了 veryeasy~~給你一個(gè)函數(shù) #39___#39函數(shù)名SetRequest #39作 用防止SQL注入 #39ParaName參數(shù)名稱字符型 #39ParaType參數(shù)類(lèi)型數(shù)字型1表示是數(shù)字，0表示為字符#39RequestType請(qǐng)求方式0直接請(qǐng)求，1Request請(qǐng)求，2post請(qǐng)求，3get請(qǐng)求，4Cookies請(qǐng)求，5。

11、首先確定程序是不是自己寫(xiě)的 如果是自己寫(xiě)的做到以下幾點(diǎn) 1有通過(guò)URL或者表單獲取的數(shù)據(jù)全部做安全檢查，如文章根據(jù)ID顯示的，搜索等，獲取的是數(shù)字類(lèi)型就INT或者CLNG下，強(qiáng)制為數(shù)字，不是數(shù)值去網(wǎng)絡(luò)上找防注入函數(shù) 2將數(shù)據(jù)庫(kù)修改為復(fù)雜名稱，寫(xiě)的自己都不記得最好 3查看上傳圖片的頁(yè)面是不是不。

12、id = cintrequestquerystringquotidquot同理，凡是數(shù)字型的，一律進(jìn)行判斷是否數(shù)字或強(qiáng)制轉(zhuǎn)換如果是字符型的，要寫(xiě)入SQL語(yǔ)句的，一律對(duì)單引號(hào)進(jìn)行轉(zhuǎn)義，如 SQLserver和Access中，替換成兩個(gè)單引號(hào)MYSQL中替換成 \#39 等可以寫(xiě)成一個(gè)固定的函數(shù)來(lái)代替request，可以達(dá)到防止注入的目的網(wǎng)上也有一些通用。

13、lt 部份代碼Function HTMLEncodefStringfString=replacefString，quotquot，quot#59quotfString=replacefString，quotltquot，quotltquotfString=replacefString，quotquot，quotquotfString=replacefString，quot\quot，quot\quotfString=replacefString，quotquot，quot#45#45quotfString=replacefString，CHR9，quot#9quotfString=replace。