、ASP/SQL语句注入：在多都是利用网页没有对提交的数据进行过滤而直接带入数据库！


防：注入语句大多有如下字符： , % & = ; > < 来构成SQL语句！


注意：我们要作的是对写入数据库中的每一个字段都要作过滤！是每一个，千万不怕麻烦！提供如下过滤语句！


****************************************************
if instr(accountname,"")<>0 or instr(accountname,";")<>0 or instr(accountname,"&")<>0 or instr(accountname,">")<>0 or instr(accountname,",")<>0 or instr(accountname,"=")<>0 or instr(accountname,"%")<>0 then
response.write "<script language=javascript>alert(\n\n***********提示***********\n\n1、所输入的数据包含非法字符！\n\n5、请点击确定返回！);history.back()</script>"
response.end
end if
****************************************************


把accountname改成需要过滤字段就行了！有多个字段就要多少个如上的判断语句！


2、异地表单提交！（某此人用来突破原网页的种种限制）


防：禁止异地表单提交！在你的数据库连接文件(conn.asp)加入如下判断语句！


<%
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
if mid(server_v1,8,len(server_v2))<>server_v2 then
response.write "

<center><table border=1 cellpadding=20 bordercolor=black bgcolor=#EEEEEE width=450>"
response.write "<tr><td style=font:9pt Verdana>"
response.write "你提交的路径有误，禁止从站点外部提交数据请不要乱改参数！"
response.write "</td></tr></table></center>"
response.end
end if
%>

****************************************************************************


话不多说！已免一不小心又给某此人算落一番！祝各位一路好走....愿有些人好自为知！