if isnumeric(id)=0 or id="" then
response.write "禁止提交非法语句!"
response.end
end if 放在文档前面就能够检查提交的变量id了。方法实在太多,所以我就不说了。从理论上来说,对用户提交的变量。只能是字母和数字。所以程式要尽可能多过滤一些非法字符。单引号、双引号、分号、空格、<、>等。
这次检测也结束了,程式不可能很完美,我的水平也有限。直觉上这个程式的BUG应该更有。假如能把刚才所发现的漏洞修补好。在瞎子摸象的情况下。已是相当难更深入了。因为至始至终我们都没有得看到程式源代码和数据库的结构。
