На самом деле уязвимости SQL-инъекций не страшны. Если знать принцип + проявить терпение и осторожность, то можно полностью их предотвратить.
Ниже приведены 4 функции, которых вам хватит, чтобы противостоять всем уязвимостям SQL-инъекций! Если вы понимаете код, вы сможете его понять.
Обратите внимание на фильтрацию всех объектов запроса: включая request.cookie, request.ServerVariables и другие объекты, которые легко упустить из виду:
программный код
Скопируйте код кода следующим образом:
function killn(byval s1) 'Фильтрация числовых параметров
если не isnumeric(s1), то
убить = 0
еще
если s1〈0 или s1〉2147483647, то
убить = 0
еще
killn=clng(s1)
конец, если
конец, если
конечная функция
функция killc(byval s1) фильтрует параметры валюты
если не isnumeric(s1), то
убитьc=0
еще
killc=номерформата(s1,2,-1,0,0)
конец, если
конечная функция
function killw(byval s1) 'Фильтрация параметров символов
если len(s1)=0, то
убить = ""
еще
killw=trim(replace(s1,"'",""))
конец, если
конечная функция
функция killbad(byval s1) фильтрует все опасные символы, включая межсайтовый скриптинг
Если len(s1) = 0, то
убийца=""
еще
killbad = Trim(replace(replace(replace(replace(replace(replace(replace(replace(s1,Chr(10), "〈br〉"), Chr(34), """), "〉", "> "), "〈", "<"), "&", "&"),chr(39),"'"),chr(32)," "),chr(13),""))
конец, если
конечная функция