防止SQL注入的函数

发表于:2007-07-04来源:作者:点击数: 标签:
防止SQL注入的函数 作者:Loster(OI CQ :181306) [如果转载,请勿删除此信息,谢谢] '函数名:S_Request() '辅助函数:R_Reader() '作用:过滤非法字符,防止SQL注入。 '参数:S_Str:被传入的变量的名,类型:字符串 '返回值:过滤后的值。 '***************

防止SQL注入的函数

作者:Loster(OICQ:181306) [如果转载,请勿删除此信息,谢谢]

'函数名:S_Request()

'辅助函数:R_Reader()

'作用:过滤非法字符,防止SQL注入。

'参数:S_Str:被传入的变量的名,类型:字符串

'返回值:过滤后的值。

'***************************************************************************

Const C_SqlStr="',count,user,User,Count,1=1,and,2=2" '需要过滤的字符串序列,每个字符串之间用“,”分隔

Dim Reader

Function R_Reader(R_Str,F_Str)
 Dim i
 
 If R_Str="" Or F_Str="" Then
  Exit Function
 End If
 
 Reader=Split(R_Str,F_Str)
 
 For i=0 To Ubound(Reader,1)
  Reader(i)=Cstr(Trim(Reader(i)))
 Next
 R_Reader=Ubound(Reader,1)
End Function

Function S_Request(S_Str)
 Dim Temp,i
  If S_Str="" Then
   Exit Function
  End If

  Temp=Request(S_Str)
  For i=0 To R_Reader(C_SqlStr,",")
   Temp=Replace(Temp,CStr(Reader(i)),"")
  Next
   Temp=Replace(Temp,Chr(34),"")
   S_Request=Cstr(Trim(Temp))
   Erase Reader
End Function

用法:

原来的例如这样的语句:

a=request("a")

现在写成:

a=S_Request("a")

即可实现非法字符串过滤。

当然,你也可以写成这样:

Function S_Request(S_Str)
 Dim Temp,i,Temp1
  If S_Str="" Then
   Exit Function
  End If

  Temp=Cstr(Request(S_Str))
  Temp1=Temp
  For i=0 To R_Reader(C_SqlStr,",")
   Temp=Replace(Temp,CStr(Reader(i)),"")
   If Temp1<>Temp Then
    Response.Write ("请不要输入非法字符!")
    Response.End
   End If
  Next
   Temp=Replace(Temp,Chr(34),"")
   S_Request=Cstr(Trim(Temp))
   Erase Reader
End Function

这样,可以返回一个错误报告。

原文转自:http://www.ltesting.net