1、lt%#39防SQL注入定义部份Dim Fy_Post，Fy_Get，Fy_In，Fy_Inf，Fy_Xh，Fy_db，Fy_dbstr#39自定义需要过滤的字串，用 quotquot 分隔Fy_In = quot#39andexecinsertselectdeleteupdatecount*%chrmidmastertruncatechardeclarequot#39%lt%Fy_Inf = splitFy_In，quotquot#39。

2、一般的隔开，然后再判断。

3、防止aspsql注入的方法有很多，需要严格的字符串过滤在传递URL参数和提交表单时，必须对提交的内容进行字符串过滤，网站中使用的那些第三方插件必须是安全的，只有在没有漏洞的情况下才能使用，比如上传组件和使用的在线编辑器上传文件时必须对文件进行严格的检测，这种只判断文件后缀的操作方法是不正确的。

4、如果是字符串，那么你要过滤掉sql里面敏感的字符，比如单引号，双引号之类2过滤sql文 你写的是 select * from username where type= quot type 要使用户type 为 quot1 or type=adminquot，你猜猜是什么结果 防止注入概括起来其实就是 1 类型检查 2 变量范围检查 3 特殊字符过滤 4 sql关键字过。

5、对于SQLServer提供程序，攻击者只需在新命令前面加上分号攻击者可以通过这种方式删除其他表的内容，甚至可以调用SQLServer的系统存储过程xp_cmdshell来命令和执行任意程序 攻击者在文本框中输入以下内容，其目标是删除Customers表中的所有行 伦春从客户中删除* 第二，预防 如何防止SQL注入袭击？需要记住几点。

6、Check_SQLasp lt Sql_in=quotand or on in select insert update delete exec declare #39quot#39防止GET方法 #39区分出注入字符 Sql=SplitSql_in，quotquot#39如果GET过来的数据不为空 If RequestQueryStringltquotquot Then #39逐一取出提交过来的参数 For Each Sql_Get In。

7、id = cintrequestquerystringquotidquot同理，凡是数字型的，一律进行判断是否数字或强制转换如果是字符型的，要写入SQL语句的，一律对单引号进行转义，如 SQLserver和Access中，替换成两个单引号MYSQL中替换成 \#39 等可以写成一个固定的函数来代替request，可以达到防止注入的目的网上也有一些通用。

8、Call infobackquot请不要尝试非法注入quotEnd If Next Next End If If RequestFormltquotquot Then For Each Sql_Post In RequestForm For Sql_Data = 0 To UBoundSqlIf InStrLCaseRequestFormSql_Post， SqlSql_Datalt0 Then Call infobackquot请不要尝试非法注入quotEnd If Next。

9、#39 === #39过滤HTML代码 #39 === Function RemoveHTMLstrTextstrText=strTextquotquotDim RegEx Set RegEx = New RegExp RegExPattern = quotlt^*quotRegExGlobal = True RemoveHTML = RegExReplacestrText， quotquotEnd Function #39 === #39过滤脚本代码 #39 ===。

10、在你接收url参数的时候 过滤特殊字符就可以了 veryeasy~~给你一个函数 #39___#39函数名SetRequest #39作 用防止SQL注入 #39ParaName参数名称字符型 #39ParaType参数类型数字型1表示是数字，0表示为字符#39RequestType请求方式0直接请求，1Request请求，2post请求，3get请求，4Cookies请求，5。

11、加一句 result_strion=replaceresult_strion，quot#39 or 1=1quot，quotquot 你试试看。

12、SQL注入，一般由 request 提交而来，所以过滤 request参数即可 比如，正常获取 id 为 requestquotidquot ，获取后，对其进行强制转为int型，如 id = cintrequestquerystringquotidquot 同理，凡是数字型的，一律进行判断是否数字或强制转换。

13、给你个通用的sql防注入代码 关键是过滤 #39 和括号 Dim Fy_Post，Fy_Get，Fy_cook，Fy_In，Fy_Inf，Fy_Xh，Fy_db，Fy_dbstr，aa On Error Resume Next Fy_In = quot#39execinsertselectdeleteupdatecountchrtruncatechardeclarescript*charsetquotaa=quotheiketxtquot #39如。

14、访问了RequestForm 变量之后，数据就 全部加载完了， 不能调用 BinaryRead 没有意义检查一下代码，是否在BinaryRead函数调用之前又 写了访问Request 的语句 可是试试这种做法你可以把注入写成一个函数来调用，如果需要注入就调用函数，我一般都是这样调用的例如需要防注入的。

15、在生成sql语句时不要把参数直接用+号的形式写在sql里，用 cmdparamater加入参数这样可以防sql注入。

16、lt 部份代码Function HTMLEncodefStringfString=replacefString，quotquot，quot#59quotfString=replacefString，quotltquot，quotltquotfString=replacefString，quotquot，quotquotfString=replacefString，quot\quot，quot\quotfString=replacefString，quotquot，quot#45#45quotfString=replacefString，CHR9，quot#9quotfString=replace。

17、1代码的严谨，尤其是与数据库链接的代码，现在一般都是写在webconfig中，这在一定的程度上也起到了防攻击2你的数据库模型设计的更加严谨一些，一个是增加可读性，一个是对关键字段的识别3当然，还有其他一些防止sql注入式攻击的手段，这些都是你在平时写代码的时候不自觉的都会加入这些元素。