今天一个朋友找我请教关于数据库的varchar 跟char类型字段被加入一段 <script src=http://cn.daxia123.cn/cn.js></script> 这个代码, 介于这个 他给我发了 本论坛的一些帖子, 通过帖子的内容查看 以及朋友网站iis日志记录分析得知 加入SQL防注入应该是有效果的, 只是这个防止注入代码的判断方式稍微修改下应该就可以了. 下面贴出来本人所写代码 希望可以帮助大家, 有没有效果希望都说出来 也为了继续修改代码让网站更安全！

希望测试的朋友可以参与下投票以便我知道是否有效果！

代码如下:

'龍宇添加防止SQL注入检测
'请将此代码加入到您网站的Conn连接文件中！
dim sql_injdata
SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare|daxia123|<script|/script>"
SQL_inj = split(SQL_Injdata,"|")
If Request.QueryString<>"" Then
        For Each SQL_Get In Request.QueryString
                For SQL_Data=0 To Ubound(SQL_inj)
                        if instr(LCase(Request.QueryString(SQL_Get)),LCase(Sql_Inj(Sql_DATA)))>0 Then
                                Response.Write "<Script Language='javascript'>alert('请不要在参数中包含非法字符尝试注入！');history.back(-1)</Script>"
                        Response.end
                        end if
                next
   
        Next
End If
If Request.Form<>"" Then
        For Each Sql_Post In Request.Form
                For SQL_Data=0 To Ubound(SQL_inj)
                        if instr(LCase(Request.Form(Sql_Post)),LCase(Sql_Inj(Sql_DATA)))>0 Then
                                Response.Write "<Script Language='javascript'>alert('请不要在参数中包含非法字符尝试注入！');history.back(-1)</Script>"
                                Response.end
                        end if
                next
        next
end if
'检测结束 2009-1-7 By 龍宇

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

你的代码有错误，执行不了 ，能否查一下，谢谢了！

没错误呀?你那里提示什么???我这个已经给一个朋友使用了！昨天换的到现在没出现被挂马

我将代码直接粘贴到conn.asp 的开头，调用到时就直接在页面出现你写的代码原文和警告！