<%
Function chk_regist(requestname,requestpwd,tablename,namefield,pwdfield,reurl)
dim cn_name,cn_pwd
cn_name=trim(request.form(""&requestname&""))
cn_pwd=trim(request.form(""&requestpwd&""))
if cn_name="" or cn_pwd="" then
response.Write("<script language=javascript>alert(""請將帳號密碼填寫完整,謝謝合作。"");history.go(-1)</script>")
end if
Set rs = Server.CreateObject ("ADODB.Recordset")
sql = "Select * from "&tablename&" where "&namefield&"='"&cn_name&"'"
rs.open sql,conn,1,1
if rs.eof then
response.Write("<script language=javascript>alert(""沒有該會員ID,請確認有沒有被申請。"");history.go(-1)</script>")
else
if rs(""&pwdfield&"")=cn_pwd then
session("cn_name")=rs(""&namefield&"")
response.Redirect(reurl)
else
response.Write("<script language=javascript>alert(""提醒,您的帳號和密碼是不吻合。注意數字和大小寫。"");history.go(-1)</script>")
end if
end if
rs.close
Set rs = Nothing
End Function
%>
參數說明:
chk_regist(requestname,requestpwd,tablename,namefield,pwdfield,reurl)
requestname 為接受HTML頁中輸入名稱的INPUT控件名
requestpwd 為接受HTML頁中輸入密碼的INPUT控件名
tablename 為數據庫中保存註冊信息的表名
namefield 為該信息表中存放用戶名稱的字段名
pwdfield 為該信息表中存放用戶密碼的字段名
reurl 為登錄正確後跳轉的頁
引用示例如下:
<%
call chk_regist("b_name","b_pwd","cn_admin","cn_name","cn_pwd","admin.asp")
%>
2,經常有可能對某個事物進行當前狀態的判斷,一般即做一字段(數值類型,默認值為0)
通過對該字段值的修改達到狀態切換的效果。那麼,我又做了個函數,讓自己輕鬆輕鬆。
<%
Function pvouch(tablename,fildname,autoidname,indexid)
dim fildvalue
Set rs = Server.CreateObject ("ADODB.Recordset")
sql = "Select * from "&tablename&" where "&autoidname&"="&indexid
rs.Open sql,conn,2,3
fildvalue=rs(""&fildname&"")
if fildvalue=0 then
fildvalue=1
else
fildvalue=0
end if
rs(""&fildname&"")=fildvalue
rs.update
rs.close
Set rs = Nothing
End Function
%>
參數說明:
pvouch(tablename,fildname,autoidname,indexid)
tablename 該事物所在數據庫中的表名
fildname 該事物用以表明狀態的字段名(字段類型是數值型)
autoidname 在該表中的自動編號名
indexid 用以修改狀態的對應自動編號的值
引用示例如下:
<%
dowhat=request.QueryString("dowhat")
p_id=cint(request.QueryString("p_id"))
if dowhat="tj" and p_id<>"" then
call pvouch("cn_products","p_vouch","p_id",p_id)
end if
%>
<%if rs("p_vouch")=0 then%>
<a href=showpro.asp?dowhat=tj&p_id=<%=rs("p_id")%>>推薦</a>
<%else%>
<a href=showpro.asp?dowhat=tj&p_id=<%=rs("p_id")%>>取消推薦</a>
<%end if%>
當輸出的字符大於設定的值時,顯示"......"
<%
function cutstr(tempstr,tempwid)
if len(tempstr)>tempwid then
cutstr=left(tempstr,tempwid)&"..."
else
cutstr=tempstr
end if
end function%>
來一個能過濾特殊字符和處理數字的增強型字符串過濾函數,可能考慮得不完善,請指教。要防止SQL注入,除了過濾單引號和逗號,還需要過濾其它什麼字符嗎?過濾分號是否顯得多餘?
另外,對單引號的處理有幾種,一是直接去掉,一是將一個單引號變兩個,我這裡將英文單引號過濾為中文單引號,不知道有沒有問題?
<%
'對輸入的數據進行處理,防止異常錯誤和SQL注入攻擊
'strtype的解釋:n->數字,t->段落,其它->普通單行字符串
Function safeinput(text,strtype)
dim tempstr
tempstr = text
tempstr = replace(trim(tempstr),";",";") '過濾分號
tempstr = replace(trim(tempstr),"'","』") '過濾單引號
tempstr = replace(trim(tempstr),",",",") '過濾英文逗號
if strtype = "n" then '過濾數字
tempstr = replace(trim(tempstr),",","") '去掉數字當中可能出現的逗號分隔符,這裡是中文逗號。英文的前面已經過濾了。
tempstr = replace(trim(tempstr),"』","") '如果數字中有單引號,前面會替換成中文的單引號。這裡把單引號去掉
tempstr = replace(tempstr,"。",".") '過濾句號。有的人在中文輸入狀態下常把小數點打成中文句號,這裡替換成英文小數點
tempstr = replace(tempstr,".",".") '全角的英文句號,同上,過濾之。
if IsNumeric(tempstr) then '判斷過濾後的字符串是否是數字,如果是則進行數據類型轉換,如果不是,說明還有其它非數字字符,這裡統一轉變為0
tempstr = Csng(tempstr)
else
tempstr = 0
end if
elseif strtype = "t" then '過濾一段文字。一段文字存入數據庫需要轉換空格和換行,也一併放在這裡處理。
tempstr=replace(tempstr,chr(13),"<br>")
tempstr=replace(tempstr,chr(32)," ")
end if
safeinput = tempstr
End Function
%>
調用方法:
dim newstr,newtext,newnum
newnum = safeinput(request.Form("oldnum"),"n") '作為數字過濾
newtext = safeinput(request.Form("oldtext"),"t") '作為段落文字過濾
newstr = safeinput(request.Form("oldstr"),"s") '作為普通字符串過濾
來源:藍森林 http://www.lslnet.com
留言列表
我的紀錄 (4)
