防止SQL注入的函数。 - 中国WEB开发者网络 (http://www.webasp.net) -- 技术教程 (http://www.webasp.net/article/) --- 防止SQL注入的函数。 (http://www.webasp.net/article/17/16457.htm) |
| -- 作者:未知 -- 发布日期: 2005-02-01 |
| 作者:Loster(OICQ:181306) [如果转载,请勿删除此信息,谢谢]
'函数名:S_Request() '辅助函数:R_Reader() '作用:过滤非法字符,防止SQL注入。 '参数:S_Str:被传入的变量的名,类型:字符串 '返回值:过滤后的值。 '*************************************************************************** Const C_SqlStr="',count,user,User,Count,1=1,and,2=2" '需要过滤的字符串序列,每个字符串之间用“,”分隔 Dim Reader Function R_Reader(R_Str,F_Str) Dim i If R_Str="" Or F_Str="" Then Exit Function End If Reader=Split(R_Str,F_Str) For i=0 To Ubound(Reader,1) Reader(i)=Cstr(Trim(Reader(i))) Next R_Reader=Ubound(Reader,1) End Function Function S_Request(S_Str) Dim Temp,i If S_Str="" Then Exit Function End If Temp=Request(S_Str) For i=0 To R_Reader(C_SqlStr,",") Temp=Replace(Temp,CStr(Reader(i)),"") Next Temp=Replace(Temp,Chr(34),"") S_Request=Cstr(Trim(Temp)) Erase Reader End Function 用法: 原来的例如这样的语句: a=request("a") 现在写成: a=S_Request("a") 即可实现非法字符串过滤。 当然,你也可以写成这样: Function S_Request(S_Str) Dim Temp,i,Temp1 If S_Str="" Then Exit Function End If Temp=Cstr(Request(S_Str)) Temp1=Temp For i=0 To R_Reader(C_SqlStr,",") Temp=Replace(Temp,CStr(Reader(i)),"") If Temp1<>Temp Then Response.Write ("请不要输入非法字符!") Response.End End If Next Temp=Replace(Temp,Chr(34),"") S_Request=Cstr(Trim(Temp)) Erase Reader End Function 这样,可以返回一个错误报告。 |
| webasp.net |