모든 SQL에 Say NO 주입

ql 주입 빈틈은'천리의 제방, 개미구멍에서 무너진다'고 할 수 있다. 이런 빈틈은 인터넷에서 매우 보편적이다. 보통 프로그래머가 주입에 대해 잘 모르거나 프로그램의 필터가 엄격하지 않거나 어떤 파라미터가 검사를 잊어버리기 때문이다.여기서 저는 ASP의 Request 함수를 대신하여 모든 SQL에 Say NO를 주입할 수 있는 함수를 드리겠습니다. 함수는 다음과 같습니다.
　　

  
  
  
  

   
   
   
   
Function SafeRequest(ParaName,ParaType)   
   
   
   
   
 
   
   
   
   
　　 ’---      --- 　　   
   
   
   
   
 
   
   
   
   
’ParaName:    -    　　   
   
   
   
   
 
   
   
   
   
’ParaType:    -   (1         ，0         )　   
   
   
   
   
 
   
   
   
   
　　 Dim ParaValue   
   
   
   
   
 
   
   
   
   
　　 ParaValue=Request(ParaName)  
   
   
   
   
 
   
   
   
   
 　　 If ParaType=1 then   
   
   
   
   
 
   
   
   
   
　　 If not isNumeric(ParaValue) then  
   
   
   
   
 
   
   
   
   
 　　 Response.write "  " & ParaName & "      ！" 
   
   
   
   
 
   
   
   
   
 　　 Response.end   
   
   
   
   
 
   
   
   
   
　　 End if  
   
   
   
   
 
   
   
   
   
 　　 Else   
   
   
   
   
 
   
   
   
   
　　 ParaValue=replace(ParaValue,"’","’’")   
   
   
   
   
 
   
   
   
   
　　 End if   
   
   
   
   
 
   
   
   
   
　　 SafeRequest=ParaValue   
   
   
   
   
 
   
   
   
   
　　End function