/**
作者：慈勤強
Email： [email protected]
*/

函數很簡單， 主要是針對字符串和數字兩種類型的傳入數據分別進行了處理，具體用法：

字符類型的
strUsername = CheckInput(Request(“username“),“s“)
數字類型的
ID = CheckInput(Request(“id“),“i“)

下面是函數

Function CheckInput(str,strType)
   '函數功能：過濾字符參數中的單引號，對于數字參數進行判斷，如果不是數值類型，則賦值0
   '參數意義：  str        ---- 要過濾的參數
   '                 strType ---- 參數類型，分為字符型和數字型，字符型為"s"，數字型為"i"
 Dim strTmp
 strTmp     = ""
 If strType ="s" Then
  strTmp = Replace(Trim(str),"'","''")
 ElseIf strType="i" Then
  If isNumeric(str)=False Then str="0"
  strTmp = str
 Else
  strTmp = str
 End If
 CheckInput = strTmp
End Function

SQL Injection的危害是很大的，比如對于SQL Server，可以創建、刪除數據庫，執行系統命令等等， 如drop table tbl_name, execute master.dbo.xp_cmdshell "command"所以很多人寫的函數就是拼命的去過濾這些可能引起危害的關鍵詞，比如drop ,分號,and,exe,mid等等，羅列了一大堆。

其實，盡可以不必那么繁瑣，非要把簡單的事情復雜化。
對于過濾，ASP中只要針對字符型和數字型分別處理就可以了，

字符型的，把單引號轉換成兩個單引號  strTmp = Replace(Trim(str),"'","''")
數字型的，就判斷是否能夠轉換成數字型的 ，用 isNumeric函數

現在網上說的能夠繞過單引號的攻擊，其實是針對數字類型的,如果對于過濾了單引號的字符型，還有辦法繞過，那就沒得玩了........