ASP如何更好的解決使用者驗證問題

解決|問題 在ASP編程中，身份認證可以說是常要用到的。但怎麼樣才能做到認證的安全呢？
舉例：
表單提交頁面：sub.htm
<html>
<head>
<title>管理員登陸＜/title>
<body>
<form name="form1" method="post" action="sub.asp">
<p> 管理員:
<input type="text" name="UserID" size="25" maxlength="20">

密　碼: 
<input type="text" name="Pass" size="12" maxlength="20">
<input type="submit" name="Submit" value="提交">
</p>
</form>
</body>
</html>
SUB.asp程式
<%
'接收表單中的資料
user=request.from("UserID")
'檢察表單提交的資料是否為空白(表單頁面可能你用javascript OR VBSCRIPT控制了，但這裡也不要忘記控制！
if user="" then
'轉到出錯提示頁面！
response.redirect "err1.htm"
'這一句可能沒用，但加上為好！
response.end
end if
pass=request.from("Pass")
if pass="" then
response.redirect "err2.htm"
response.end
end if
'聯結資料庫
file=server.mappath("你的資料庫")
set conn=server.createobject("adodb.connection")
dr="driver={microsoft access driver (*.mdb)};dbq="&file
conn.open dr
set rs=server.createobject("adodb.recordset")
'關鍵是這裡的SQL語言
sql="select * from 表 where user='"&user&"' and pass='"&pass&"'"
rs.open sql
if not rs.eof then
'找到的話就進入管理頁面
reponse.redirect "login.asp"
else
'沒找到就進入錯誤頁面
response.write "err3.htm" 
end if 
%>
大家感覺以上代碼應該沒問題啊，但是這裡有一個嚴重的安全隱患：

我如果想登入管理員的話可以在SUb.htm表單輸入框中輸入：
第一個文字框中輸入：a' or '1'='1 或 ' OR ''='
第二個文字框中輸入：a' or '1'='1 或 ' OR ''='
提交，大家會看到...“嗚，聽我說完好不好，磚頭一會再丟過來..."
"a " 和“1”為任一字元
有人會問為什麼你輸入這些字元會以管理員身份進入呢？？
其實這些字元是對你程式中SQL語言的欺騙，而成功進入的
大家看：開始程式SQL中是對錶進行查詢滿足user='"&user&"' and pass='"&pass&"'"條件的記錄
sql="select * from 表 where user='"&user&"' and pass='"&pass&"'"
我而輸入上面的代碼後就成了：
sql="select * from 表 where user='a' or '1'='1' and pass='a' or '1'='1'"
大家看看，能有不進入的理由嗎？？給我一個不進入的理由，先！ 
以上USER PASS欄位為字元型 如果是數字型也一樣的道理！

解決方案：
一、函數替代法：
用REPLACE將使用者端輸入的內容中含有特殊字元進行替換，達到控制目的啊！：）
sql="select * from 表 where user='"&replace(user,"'","''")&"' and pass='"&replace(pass,"'","''")&"'"
這種方法每次只能替換一個字元，其實危險的字元不只是"'"，還有如">"、"<"、"&"、"%"等字元應該全控制起來。但用REPLACE函數好象不太勝任那怎麼辦呢？？
二、程式控製法
用程式來對用戶端輸入的內容全部控制起來，這樣能全面控制使用者端輸入的任何可能的危險字元或代碼，我就的這個方法！：） 
舉例說明：
<%
'捕捉使用者端提交的表單內容
user=request.from("user")
pass=request.from("pass")
...
'迴圈控制開始
for i=1 to len(user)
'用MID函數讀出變數user中i 位置的一個字元
us=mid(user,i,1)
'將讀出的字元進行比較
if us="'" or us="%" or us="<" or us=">" or us="&" then
'如果含有以上字元將出錯提示，不能含有以上特殊字元
response.redirect "err2.htm"
response.end
end if
next
...
%>