1、防止aspsql注入的方法有很多，需要嚴格的字符串過濾在傳遞URL參數和提交表單時，必須對提交的內容進行字符串過濾，網站中使用的那些第三方插件必須是安全的，只有在沒有漏洞的情況下才能使用，比如上傳組件和使用的在線編輯器上傳文件時必須對文件進行嚴格的檢測，這種只判斷文件后綴的操作方法是不正確的。

2、給你個通用的sql防注入代碼 關鍵是過濾 #39 和括號 Dim Fy_Post，Fy_Get，Fy_cook，Fy_In，Fy_Inf，Fy_Xh，Fy_db，Fy_dbstr，aa On Error Resume Next Fy_In = quot#39execinsertselectdeleteupdatecountchrtruncatechardeclarescript*charsetquotaa=quotheiketxtquot #39如。

3、把=和or號替換成空就可以了，把 Requestquotreg_nickquot 改成 replaceRequestquotreg_nickquot，quot=quot，quotquot 當然SQL注入問題遠不止這麼簡單，多去網上查查什麼叫SQL注入，像%，AND，OR，及一些SQL關鍵字都要過濾掉 要不你試試把語句改成這樣試試，這樣那些注入字符應該就會報錯無效了 sql=quot。

4、如果是字符串，那么你要過濾掉sql里面敏感的字符，比如單引號，雙引號之類2過濾sql文 你寫的是 select from username where type= quot type 要使用戶type 為 quot1 or type=adminquot，你猜猜是什么結果 防止注入概括起來其實就是 1 類型檢查 2 變量范圍檢查 3 特殊字符過濾 4 sql關鍵字過濾。

5、在每個SQL語句那寫SQL過濾還有用SQL數據庫加上補丁，把16位的密碼轉成32位把網站上所有寫入權限都關了。

6、lt！post防止注入 lt dim sql_injdata SQL_injdata = quot#39andexecinsertselectdeleteupdatecount*%chrmidmastertruncatechardeclarequotIf RequestFormltquotquot Then For Each Sql_Post In RequestForm For SQL_Data=0 To UboundSQL_injif instrRequestFormSql_Post。

7、注入攻擊能得逞是因為在原有SQL語句中加入了新的邏輯，如果使用PreparedStatement來代替Statement來執(zhí)行SQL語句，其后只是輸入參數，SQL注入攻擊手段將無效，這是因為PreparedStatement不允許在不同的插入時間改變查詢的邏輯結構，大部分的SQL注入已經擋住了，在WEB層我們可以過濾用戶的輸入來防止SQL注入比如用Filter來過濾全局的表單。

8、return falseelse ifpassword==quotquot alertquot密碼還沒寫quotreturn false 第二種 ASP檢驗法 你可以把你的代碼改成如下格式 username=requestquotusernamequotpwd=requestquotpwdquotif instrusername，quot#39quotlt0 or instr。

9、lt function HTMLEncode2fStringfString = ReplacefString， CHR13， #39#39#39fString = ReplacefString， CHR10 CHR10， #39#39ltPltP#39#39fString = ReplacefString， CHR10， #39#39ltBR#39#39HTMLEncode2 = fString end function #39二次判斷，防止屏蔽JS后提交數據 sex=trimrequestform。

10、在你接收url參數的時候 過濾特殊字符就可以了 veryeasy~~給你一個函數 #39___#39函數名SetRequest #39作 用防止SQL注入 #39ParaName參數名稱字符型 #39ParaType參數類型數字型1表示是數字，0表示為字符#39RequestType請求方式0直接請求，1Request請求，2post請求，3get請求，4Cookies請求，5。

11、首先確定程序是不是自己寫的 如果是自己寫的做到以下幾點 1有通過URL或者表單獲取的數據全部做安全檢查，如文章根據ID顯示的，搜索等，獲取的是數字類型就INT或者CLNG下，強制為數字，不是數值去網絡上找防注入函數 2將數據庫修改為復雜名稱，寫的自己都不記得最好 3查看上傳圖片的頁面是不是不。

12、id = cintrequestquerystringquotidquot同理，凡是數字型的，一律進行判斷是否數字或強制轉換如果是字符型的，要寫入SQL語句的，一律對單引號進行轉義，如 SQLserver和Access中，替換成兩個單引號MYSQL中替換成 \#39 等可以寫成一個固定的函數來代替request，可以達到防止注入的目的網上也有一些通用。

13、lt 部份代碼Function HTMLEncodefStringfString=replacefString，quotquot，quot#59quotfString=replacefString，quotltquot，quotltquotfString=replacefString，quotquot，quotquotfString=replacefString，quot\quot，quot\quotfString=replacefString，quotquot，quot#45#45quotfString=replacefString，CHR9，quot#9quotfString=replace。