这段时间网站老被黑,可能是自己写的程序太垃圾的缘故,这两天忙着将这些漏洞补上(五一好放心休息 )下面的是防注入表单Post部分的代码,请问这段代码有必要加吗.我想知道的是这个不加对安全性影响大不大.

我现在是加了,但文本编辑框中就添加不了那些特殊字符 ,我用server.htmlencode处理了文本编辑框的内容,但还是提示出错了！表单content的值中包含非法字符串
对了,用server.htmlencode编码后存入数据库的内容取出时要用哪个代码server.xxx ,忘记了?

Form_Badword="'∥%∥&∥*∥#∥(∥)∥=" '在这部份定义post非法参数,使用"∥"号间隔

'-----对 post 表 单值的过滤.

if request.form<>"" then
Chk_badword=split(Form_Badword,"∥")
FOR EACH Str_Name IN Request.Form
for i=0 to ubound(Chk_badword)
If Instr(LCase(request.form(Str_Name)),Chk_badword(i))<>0 Then
Select Case Err_Message
Case "1"
Response.Write "<Script Language=JavaScript>alert('出错了！表单 "&Str_Name&" 的值中包含非法字符串！\n\n请不要在表单中出现： % & * # ( ) 等非法字符！');window.history.go(-1);</Script>"
Case "2"
Response.Write "<Script Language=JavaScript>location.href='"&Err_Web&"'</Script>"
Case "3"
Response.Write "<Script Language=JavaScript>alert('出错了！参数 "&Str_Name&"的值中包含非法字符串！\n\n请不要在表单中出现： % & * # ( ) 等非法字符！');location.href='"&Err_Web&"';</Script>"
End Select
Response.End
End If
NEXT
NEXT
end if