1、防止aspsql注入的方法有很多，需要嚴(yán)格的字符串過濾在傳遞URL參數(shù)和提交表單時，必須對提交的內(nèi)容進(jìn)行字符串過濾，網(wǎng)站中使用的那些第三方插件必須是安全的，只有在沒有漏洞的情況下才能使用，比如上傳組件和使用的在線編輯器上傳文件時必須對文件進(jìn)行嚴(yán)格的檢測，這種只判斷文件后綴的操作方法是不正確的。

2、給你個通用的sql防注入代碼 關(guān)鍵是過濾 #39 和括號 Dim Fy_Post，F(xiàn)y_Get，F(xiàn)y_cook，F(xiàn)y_In，F(xiàn)y_Inf，F(xiàn)y_Xh，F(xiàn)y_db，F(xiàn)y_dbstr，aa On Error Resume Next Fy_In = quot#39execinsertselectdeleteupdatecountchrtruncatechardeclarescript*charsetquotaa=quotheiketxtquot #39如。

3、把=和or號替換成空就可以了，把 Requestquotreg_nickquot 改成 replaceRequestquotreg_nickquot，quot=quot，quotquot 當(dāng)然SQL注入問題遠(yuǎn)不止這麼簡單，多去網(wǎng)上查查什麼叫SQL注入，像%，AND，OR，及一些SQL關(guān)鍵字都要過濾掉 要不你試試把語句改成這樣試試，這樣那些注入字符應(yīng)該就會報錯無效了 sql=quot。

4、如果是字符串，那么你要過濾掉sql里面敏感的字符，比如單引號，雙引號之類2過濾sql文 你寫的是 select from username where type= quot type 要使用戶type 為 quot1 or type=adminquot，你猜猜是什么結(jié)果 防止注入概括起來其實就是 1 類型檢查 2 變量范圍檢查 3 特殊字符過濾 4 sql關(guān)鍵字過濾。

5、在每個SQL語句那寫SQL過濾還有用SQL數(shù)據(jù)庫加上補丁，把16位的密碼轉(zhuǎn)成32位把網(wǎng)站上所有寫入權(quán)限都關(guān)了。

6、lt！post防止注入 lt dim sql_injdata SQL_injdata = quot#39andexecinsertselectdeleteupdatecount*%chrmidmastertruncatechardeclarequotIf RequestFormltquotquot Then For Each Sql_Post In RequestForm For SQL_Data=0 To UboundSQL_injif instrRequestFormSql_Post。

7、注入攻擊能得逞是因為在原有SQL語句中加入了新的邏輯，如果使用PreparedStatement來代替Statement來執(zhí)行SQL語句，其后只是輸入?yún)?shù)，SQL注入攻擊手段將無效，這是因為PreparedStatement不允許在不同的插入時間改變查詢的邏輯結(jié)構(gòu)，大部分的SQL注入已經(jīng)擋住了，在WEB層我們可以過濾用戶的輸入來防止SQL注入比如用Filter來過濾全局的表單。

8、return falseelse ifpassword==quotquot alertquot密碼還沒寫quotreturn false 第二種 ASP檢驗法 你可以把你的代碼改成如下格式 username=requestquotusernamequotpwd=requestquotpwdquotif instrusername，quot#39quotlt0 or instr。

9、lt function HTMLEncode2fStringfString = ReplacefString， CHR13， #39#39#39fString = ReplacefString， CHR10 CHR10， #39#39ltPltP#39#39fString = ReplacefString， CHR10， #39#39ltBR#39#39HTMLEncode2 = fString end function #39二次判斷，防止屏蔽JS后提交數(shù)據(jù) sex=trimrequestform。

10、在你接收url參數(shù)的時候 過濾特殊字符就可以了 veryeasy~~給你一個函數(shù) #39___#39函數(shù)名SetRequest #39作 用防止SQL注入 #39ParaName參數(shù)名稱字符型 #39ParaType參數(shù)類型數(shù)字型1表示是數(shù)字，0表示為字符#39RequestType請求方式0直接請求，1Request請求，2post請求，3get請求，4Cookies請求，5。

11、首先確定程序是不是自己寫的 如果是自己寫的做到以下幾點 1有通過URL或者表單獲取的數(shù)據(jù)全部做安全檢查，如文章根據(jù)ID顯示的，搜索等，獲取的是數(shù)字類型就INT或者CLNG下，強制為數(shù)字，不是數(shù)值去網(wǎng)絡(luò)上找防注入函數(shù) 2將數(shù)據(jù)庫修改為復(fù)雜名稱，寫的自己都不記得最好 3查看上傳圖片的頁面是不是不。

12、id = cintrequestquerystringquotidquot同理，凡是數(shù)字型的，一律進(jìn)行判斷是否數(shù)字或強制轉(zhuǎn)換如果是字符型的，要寫入SQL語句的，一律對單引號進(jìn)行轉(zhuǎn)義，如 SQLserver和Access中，替換成兩個單引號MYSQL中替換成 \#39 等可以寫成一個固定的函數(shù)來代替request，可以達(dá)到防止注入的目的網(wǎng)上也有一些通用。

13、lt 部份代碼Function HTMLEncodefStringfString=replacefString，quotquot，quot#59quotfString=replacefString，quotltquot，quotltquotfString=replacefString，quotquot，quotquotfString=replacefString，quot\quot，quot\quotfString=replacefString，quotquot，quot#45#45quotfString=replacefString，CHR9，quot#9quotfString=replace。