sql - 関数を介してすべてのフォーム送信データを実行する方法

Question

従来の ASP で、フォームから送信されたすべての入力をサニタイズする簡単な方法はありますか? これは私の消毒機能です：

function dbsafe(data)
data = replace(data,";","")
data = replace(data,"'","")
data = replace(data,"—","")
data = replace(data,"/*","")
data = replace(data,"*/","")
data = replace(data,"*","")
data = replace(data,"/","")
data = replace(data,"xp_","")
end function

Answer 1

代わりに、パラメーター化されたクエリの使用を検討します。攻撃者は最終的に、あなたが削除するのを忘れたものを思い浮かべます。

パラメータ化されたクエリへのリンクは次のとおりです：http ：//support.microsoft.com/kb/200190

Answer 2

うまく機能しているように見える IIS チームからの次のブログ投稿を見つけました。

http://blogs.iis.net/nazim/archive/2008/04/28/filtering-sql-injection-from-classic-asp.aspx