Function CheckSql() '防止SQL注入
Dim sql_injdata
SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
SQL_inj = split(SQL_Injdata,"|")
If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language='javascript'>{alert('请不要在参数中包含非法字符！');history.back(-1)}</Script>"
Response.end
end if
next
Next
End If
If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language='javascript'>{alert('请不要在参数中包含非法字符！');history.back(-1)} </Script>"
Response.end
end if
next
next
end if
End Function


我把这段防注放代码保存在（abc.asp页面里）加入后台调用，在后台提交新闻时，老是报错，我把这个调用去掉后又行了，但在前台用于新闻内容显示时可以用。是怎么回事了？

[此贴子已经被作者于2007-9-21 0:16:21编辑过]

我在向数据库加内容时，他提示！rs("uname")=trim(request("uname"))　这半个小括号是非法字符！可根本不是啊！

三楼的能详细说一下，怎么过虑吗？

是用你用的这样的做的，可还是不行！

replace(replace(replace(replace(Rtrim(request.Form("news_content")),"<","&lt;"),">","&gt;"),"'","&#39;"),"“","&quot;")
能把你的QQ留一下吗？我想向你好好请教一下！我的QQ：121355385