El siguiente código se toma del sistema aspcms. Existen restricciones para obtener valores de parámetros y parámetros de filtrado de seguridad de SQL. El código es el siguiente: 'Obtener valor de parámetro Función getForm(elemento,ftype)Seleccione caso ftypecase getgetForm=trim(request). .QueryString (elemento)) caso postgetForm = trim (request.Form (elemento)) caso ambos si es Nul (request.QueryString (elemento)) entonces getForm=trim(request.Form(elemento)) else getForm=trim(request.QueryString(elemento))End SelectgetForm=replace(getForm,CHR(34),)getForm=replace(getForm,CHR(39),') La función principal de End Function es obtener valores de parámetros, lo cual es mucho más seguro que usar la solicitud (elemento) directamente. Filtrar parámetros Función filterPara(byVal). Para)filterPara=preventSqlin(Checkxss(Para))Fin de funciónFunción preventSqlin(content)dim sqlStr,sqlArray,i,speStrsqlStr=<|>|%|%27|'|''|;|*|y|exec|dbcc|alter|drop|insert|select|update|delete|count|master|truncate| char|declare|where|set|declare|mid|chrif isNul(content) luego salga de la funciónsqlArray=split(sqlStr,|)for i=lbound(sqlArray) a ubound(sqlArray)if instr(lcase(content),sqlArray(i))<>0 entonces seleccione case sqlArray(i)case <:speStr=<case >:speStr=>case ',:speStr ='caso ;:speStr=; caso else:speStr=fin selectcontent=replace(content,sqlArray(i),speStr,1,-1,1)end ifnextpreventSqlin=contentEnd Function'La función de filtro de parámetros anterior es principalmente para evitar la inyección de SQL y fortalecer la protección.