防范SQL注入攻击的新办法

<span class="postbody">近段时间由于修改一个ASP程序(有SQL注入漏洞)，在网上找了很多相关的一些防范办法，都不近人意，所以我将现在网上的一些方法综合改良了一下，写出这个ASP函数，供大家参考。 <br />
以下是引用片段： <br />
Function SafeRequest(ParaName) <br />
Dim ParaValue <br />
ParaValue=Request(ParaName) <br />
if IsNumeric(ParaValue) = True then <br />
SafeRequest=ParaValue <br />
exit Function <br />
elseIf Instr(LCase(ParaValue),&quot;select &quot;) &gt; 0 or Instr(LCase(ParaValue),&quot;insert &quot;) &gt; 0 or Instr(LCase(ParaValue),&quot;delete from&quot;) &gt; 0 or Instr(LCase(ParaValue),&quot;count(&quot;) &gt; 0 or Instr(LCase(ParaValue),&quot;drop table&quot;) &gt; 0 or Instr(LCase(ParaValue),&quot;update &quot;) &gt; 0 or Instr(LCase(ParaValue),&quot;truncate &quot;) &gt; 0 or Instr(LCase(ParaValue),&quot;asc(&quot;) &gt; 0 or Instr(LCase(ParaValue),&quot;mid(&quot;) &gt; 0 or Instr(LCase(ParaValue),&quot;char(&quot;) &gt; 0 or Instr(LCase(ParaValue),&quot;xp_cmdshell&quot;) &gt; 0 or Instr(LCase(ParaValue),&quot;exec master&quot;) &gt; 0 or Instr(LCase(ParaValue),&quot;net localgroup administrators&quot;) &gt; 0 or Instr(LCase(ParaValue),&quot; and &quot;) &gt; 0 or Instr(LCase(ParaValue),&quot;net user&quot;) &gt; 0 or Instr(LCase(ParaValue),&quot; or &quot;) &gt; 0 then <br />

网管网www_bitscn_com

Response.Write &quot;&lt;script language='javascript'&gt;&quot; <br />
Response.Write &quot;alert('非法的请求!');&quot; '发现SQL注入攻击提示信息 <br />
Response.Write &quot;location.href='http://blog.knowsky.com/';&quot; '发现SQL注入攻击转跳网址 <br />
Response.Write &quot;&lt;script&gt;&quot; <br />
Response.end <br />
else <br />
SafeRequest=ParaValue <br />
End If <br />
End function <br />
<br />
使用SafeRequest函数替换你的Request</span><span class="postbody"><br />
</span>