如何防治SQL注入？

百度知道就是被楼上的这种垃圾给搞坏的。。。找点书COPY过来有什么意思。。。。。。。
-----------------------------
要防止SQL注入其实不难，你知道原理就可以了。
所有的SQL注入都是从用户的输入开始的。如果你对所有用户输入进行了判定和过滤，就可以防止SQL注入了。用户输入有好几种，我就说说常见的吧。
文本框、地址栏里***.asp?中？号后面的id=1之类的、单选框等等。一般SQL注入都用地址栏里的。。。。如果要说怎么注入我想我就和上面的这位“仁兄”一样的了。
你只要知道解决对吗？
对于所有从上一页传递过来的参数，包括request.form 、request.qurrystring等等进行过滤和修改。如最常的***.asp?id=123 ，我们的ID只是用来对应从select 里的ID，而这ID一般对应的是一个数据项的唯一值，而且是数字型的。这样，我们只需把ID的值进行判定，就可以了。vbs默认的isnumeric是不行的，自己写一个is_numeric更好，对传过来的参数进行判定，OK，搞定。算法上的话，自己想想，很容易了。但是真正要做到完美的话，还有很多要计算的。比如传递过来的参数的长度，类型等等，都要进行判定。还有一种网上常见的判定，就是判定传递参数的那一页（即上一页），如果是正常页面传弟过来就通过，否则反之。也有对' or 等等进行过滤的，自己衡量就可以了。注意一点就是了，不能用上一页的某一个不可见request.form("*")进行判定，因为用户完全可以用模拟的形式“复制”一个和上一页完全一样的页面来递交参数。这样，这招就没用了。。。。

OK就说这么多，还不明白的话，找我。Loadinger@hotmail.com

下载防注入程序。
<%

'--------定义部份------------------
Dim Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr,Kill_IP,WriteSql
'自定义需要过滤的字串,用 "|" 分隔
Fy_In