Le code suivant est extrait du système aspcms. Il existe des restrictions sur l'obtention des valeurs des paramètres et des paramètres de filtrage de sécurité SQL. Le code est le suivant : 'Obtenir la valeur du paramètre Fonction getForm(element,ftype)Select case ftypecase getgetForm=trim(request). .QueryString (élément))case postgetForm=trim(request.Form(element))case Bothif isNul(request.QueryString(element)) then getForm=trim(request.Form(element)) else getForm=trim(request.QueryString(element))End SelectgetForm=replace(getForm,CHR(34),)getForm=replace(getForm,CHR(39),') La fonction principale de End Function est d'obtenir les valeurs des paramètres, ce qui est beaucoup plus sûr que d'utiliser directement request(element) Paramètres de filtre Function filterPara(byVal. Para)filterPara=preventSqlin(Checkxss(Para))Fin FunctionFunction PreventSqlin(content)dim sqlStr,sqlArray,i,speStrsqlStr=<|>|%|%27|'|''|;|*|and|exec|dbcc|alter|drop|insert|select|update|delete|count|master|truncate| char|declare|where|set|declare|mid|chrif isNul(content) puis quittez FunctionsqlArray=split(sqlStr,|)for i=lbound(sqlArray) à ubound(sqlArray)if instr(lcase(content),sqlArray(i))<>0 puis sélectionnez le cas sqlArray(i)case <:speStr=<case >:speStr=>case ',:speStr ='case ;:speStr=; case else:speStr=fin selectcontent=replace(content,sqlArray(i),speStr,1,-1,1)end ifnextpreventSqlin=contentEnd Function'La fonction de filtre de paramètres ci-dessus vise principalement à empêcher l'injection SQL et à renforcer la protection.