防sql注入参数处理要点

　　下面的示例代码以VBScript为例，介绍防sql注入参数处理要点，只要在操作数据之前，按照下面的步骤对客户端提交的参数进行验证，一般不会出现sql注入问题，最多是脚本出错，在cint语句那里

读数据库，使用连接字符串构成sql语句的，需要执行下面的操作

　　1）如果参数为字符串，将'替换掉

xx=replace(request("xx"),"'","")

　　2）如果参数为数字，使用cint转换下类型

xx=cint(request("xx"))

写数据库的时候
　　1）如果是构造sql语句然后使用connection对象的execute执行sql语句
　　　　a）如果参数为字符串，将'替换为''

xx=replace(request("xx"),"'","''")

　　b）如果参数为数字，使用cint转换下类型

xx=cint(request("xx"))

2）如果使用的游标写数据库，不用进行任何替换

rs("xx")=request("xx")

加支付宝好友偷能量挖...