O código a seguir é retirado do sistema aspcms. Existem restrições na obtenção de valores de parâmetros e parâmetros de filtragem de segurança sql. O código é o seguinte: 'Obter valor do parâmetro Função getForm(element,ftype)Select case ftypecase getgetForm=trim(request). .QueryString (elemento))case postgetForm=trim(request.Form(element))case ambosif isNul(request.QueryString(element)) então getForm=trim(request.Form(element)) else getForm=trim(request.QueryString(element))End SelectgetForm=replace(getForm,CHR(34),)getForm=replace(getForm,CHR(39),') A principal função do End Function é obter valores de parâmetros, o que é muito mais seguro do que usar request(element) Parâmetros de filtro Function filterPara(byVal). Para)filterPara=preventSqlin(Checkxss(Para))End FunctionFunction preventSqlin(content)dim sqlStr,sqlArray,i,speStrsqlStr=<|>|%|%27|'|''|;|*|and|exec|dbcc|alter|drop|insert|select|update|delete|count|master|truncate| char|declare|where|set|declare|mid|chrif isNul(content) então saia FunctionsqlArray=split(sqlStr,|)for i=lbound(sqlArray) para ubound(sqlArray)if instr(lcase(content),sqlArray(i))<>0 então selecione case sqlArray(i)case <:speStr=<case >:speStr=>case ',:speStr ='case ;:speStr=; caso else:speStr=end selectcontent=replace(content,sqlArray(i),speStr,1,-1,1)end ifnextpreventSqlin=contentEnd Function'A função de filtro de parâmetro acima é principalmente para evitar injeção de SQL e fortalecer a proteção.