(1) 从最一般的.SQL Injection 漏洞攻击来看：用户名和密码上的过滤问题，如：

　　提交：用户名为：'or''=' 用户密码为：'or''='

　　从程序出发，我们完全可以得出，数据库在执行以下操作

　　Sql=" SELECT * FROM lUsers WHERE Username=''or''='' and Password = ''or''=''"

　　这样一来，这样，SQL 服务器将返回 lUsers 表格中的所有记录，而 ASP 脚本将会因此而误认为攻击者的输入符合 lUsers 表格中的第一条记录，从而允许攻击者以该用户的名义登入网站。对此类注入的防范似乎简单的很：

　　利用以下程序就可以实现，程序体(4)

　　strUsername = Replace(Request.Form("Username")， "''"， "''''")

　　strPassword = Replace(Request.Form("Password")， "''"， "''''")

　　程序体(4)

　　(2)杜绝SQL 注入式攻击的第一步就是采用各种安全手段监控来自 ASP request 对象 (Reques、Request.QueryString、Request.Form、Request.Cookies和 Request.ServerVariables) 的用户输入，以确保 SQL 指令的可靠性。具体的安全手段根据你的 DBMS 而异。

　　SQL 注入式攻击可能引起的危害取决于该网站的软件环境和配置。当 Web 服务器以操作员(dbo)的身份访问数据库时，利用SQL注入式攻击就可能删除所有表格、创建新表格，等等。当服务器以超级用户 (sa) 的身份访问数据库时，利用SQL注入式攻击就可能控制整个 SQL 服务器;在某些配置下攻击者甚至可以自行创建用户帐号以完全操纵数据库所在的 Windows 服务器。

　　如：

　　http://127.0.0.1/forum/showuser.asp?id=999';declare @a sysname set @a='xp_'+

　　'cmdshell' exec @a 'dir c:\'--&aid=9

　　http://127.0.0.1/forum/showuser.asp?id=999'; declare @a sysname set @a='xp'+

　　'_cm'+'dshell' exec @a 'dir c:\'--&aid=9

　　甚至可以执行像：net user fqy fqy /add 这样的指令.当然这就需要你当前的运行身份必须是Sa，或者你攻击的只是一台虚拟主机，我劝你还是就此打住.

　　对于一些整机使用的站点来说防止通过80端口攻击而直接拿到整机管理权限，这一点就变得至关重要了。对xp_cmdshell 的过滤就成为首要，很多站点的程序都是用GET或者是GET与POST混合来提交数据的，对于此，我们给出一种防止GET进行SQL注入的程序：如程序体(5)

　　fqys=request.servervariables("query_string")

　　dim nothis(18)

　　nothis(0)="net user"

　　nothis(1)="xp_cmdshell"

　　nothis(2)="/add"

　　nothis(3)="exec%20master.dbo.xp_cmdshell"

　　nothis(4)="net localgroup administrators"

　　nothis(5)="select"

　　nothis(6)="count"

　　nothis(7)="asc"

　　nothis(8)="char"

　　nothis(9)="mid"

　　nothis(10)="'"

　　nothis(11)=":"

　　nothis(12)=""""

　　nothis(13)="insert"

　　nothis(14)="delete"

　　nothis(15)="drop"

　　nothis(16)="truncate"

　　nothis(17)="from"