[原創]防止SQL注入的函數。

'**************************************************************************

'作者：Loster(OICQ:181306) [如果轉載，請勿刪除此資訊，謝謝]

'函數名：S_Request()

'輔助函數：R_Reader()

'作用：過濾非法字元，防止SQL注入。

'參數：S_Str:被傳入的變數的名，類型：字串

'傳回值：過濾後的值。

'***************************************************************************

Const C_SqlStr="',count,user,User,Count,1=1,and,2=2" '需要過濾的字串序列，每個字串之間用“,”分隔

Dim Reader

Function R_Reader(R_Str,F_Str)
 Dim i
 
 If R_Str="" Or F_Str="" Then
  Exit Function
 End If
 
 Reader=Split(R_Str,F_Str)
 
 For i=0 To Ubound(Reader,1)
  Reader(i)=Cstr(Trim(Reader(i)))
 Next
 R_Reader=Ubound(Reader,1)
End Function

Function S_Request(S_Str)
 Dim Temp,i
  If S_Str="" Then
   Exit Function
  End If

  Temp=Request(S_Str)
  For i=0 To R_Reader(C_SqlStr,",")
   Temp=Replace(Temp,CStr(Reader(i)),"")
  Next
   Temp=Replace(Temp,Chr(34),"")
   S_Request=Cstr(Trim(Temp))
   Erase Reader
End Function

用法：

原來的例如這樣的語句：

a=request("a")

現在寫成：

a=S_Request("a")

即可實現非法字串過濾。

當然，你也可以寫成這樣：

Function S_Request(S_Str)
 Dim Temp,i,Temp1
  If S_Str="" Then
   Exit Function
  End If

  Temp=Cstr(Request(S_Str))
  Temp1=Temp
  For i=0 To R_Reader(C_SqlStr,",")
   Temp=Replace(Temp,CStr(Reader(i)),"")
   If Temp1<>Temp Then
    Response.Write ("請不要輸入非法字元！")
    Response.End
   End If
  Next
   Temp=Replace(Temp,Chr(34),"")
   S_Request=Cstr(Trim(Temp))
   Erase Reader
End Function

這樣，可以返回一個錯誤報表。