<% 'I give everyone a function, instead of the Request function in the ASP, can inject SAY NO to all SQL, the function is as follows:
Function SafeRequest (PARANAME, PARATYPE) '--- Incoming Parameters ---' PARANAME: Parameter Name - Characteristic 'Paratype: Parameter Type - Digital (1 means the above parameters are numbers, 0 means the above parameters are character)
Dim Paravalue Paravalue = Request (paraName) if parates = 1 Then if not isnumeric (Paravalue) Then response.write "& paraName &" must be digital! "Response.end end if else paravalue = replace (paravalue," "," '' ") End if Saferequest = ParavalueEnd Function
#### '## ## SQL injection attack preventive device [character type]' ## '## @ data -> Data' ## @ length -> Length limit '##' ## example: strsql ("SQL Character Data", 50) '## function strsql (data, length)' ################################################################################################################################################################################################################################################ ######################################################### = Left (Data, Length) strsql = "'" & replace (DATA, "'", "'") & "'" End Function
'####' ## '## SQL injection attack preventive device [Digital] ##' ## @ Numeric -> Digital '##' ##:: IntSQL (50) '##' ## 2004 / 03/04, improved version, reason: ISNUMERIC is misjudgment when the MSSQL data type is detected. '## function INTSQL (NuMeric)' ################################################################################################################################################################################################################################################################################### ######################################################## = 0 IFEND Function%>
