<%
Function chk_regist(requestname,requestpwd,tablename,namefield,pwdfield,reurl)
dim cn_name,cn_pwd
cn_name=trim(request.form(""&requestname&""))
cn_pwd=trim(request.form(""&requestpwd&""))
if cn_name="" or cn_pwd="" then
        response.Write("<script language=javascript>alert(""請將帳號密碼填寫完整,謝謝合作。"");history.go(-1)</script>")
end if
Set rs = Server.CreateObject ("ADODB.Recordset")
sql = "Select * from "&tablename&" where "&namefield&"='"&cn_name&"'"
rs.open sql,conn,1,1
if rs.eof then
        response.Write("<script language=javascript>alert(""沒有該會員ID,請確認有沒有被申請。"");history.go(-1)</script>")
else
        if rs(""&pwdfield&"")=cn_pwd then
        session("cn_name")=rs(""&namefield&"")
        response.Redirect(reurl)
        else
        response.Write("<script language=javascript>alert(""提醒,您的帳號和密碼是不吻合。注意數字和大小寫。"");history.go(-1)</script>")
        end if
end if
rs.close
Set rs = Nothing
End Function
%>


參數說明:
chk_regist(requestname,requestpwd,tablename,namefield,pwdfield,reurl)

requestname 為接受HTML頁中輸入名稱的INPUT控件名
requestpwd 為接受HTML頁中輸入密碼的INPUT控件名
tablename 為數據庫中保存註冊信息的表名
namefield 為該信息表中存放用戶名稱的字段名
pwdfield 為該信息表中存放用戶密碼的字段名
reurl 為登錄正確後跳轉的頁

引用示例如下:

<%
call chk_regist("b_name","b_pwd","cn_admin","cn_name","cn_pwd","admin.asp")
%>


2,經常有可能對某個事物進行當前狀態的判斷,一般即做一字段(數值類型,默認值為0)
通過對該字段值的修改達到狀態切換的效果。那麼,我又做了個函數,讓自己輕鬆輕鬆。

<%
Function pvouch(tablename,fildname,autoidname,indexid)
dim fildvalue
Set rs = Server.CreateObject ("ADODB.Recordset")
sql = "Select * from "&tablename&" where "&autoidname&"="&indexid
rs.Open sql,conn,2,3
fildvalue=rs(""&fildname&"")
if fildvalue=0 then
fildvalue=1
else
fildvalue=0
end if
rs(""&fildname&"")=fildvalue
rs.update
rs.close
Set rs = Nothing
End Function
%>


參數說明:
pvouch(tablename,fildname,autoidname,indexid)

tablename 該事物所在數據庫中的表名
fildname 該事物用以表明狀態的字段名(字段類型是數值型)
autoidname 在該表中的自動編號名
indexid 用以修改狀態的對應自動編號的值

引用示例如下:

<%
dowhat=request.QueryString("dowhat")
p_id=cint(request.QueryString("p_id"))

if dowhat="tj" and p_id<>"" then
call pvouch("cn_products","p_vouch","p_id",p_id)
end if
%>

<%if rs("p_vouch")=0 then%>
<a href=showpro.asp?dowhat=tj&p_id=<%=rs("p_id")%>>推薦</a>
<%else%>
<a href=showpro.asp?dowhat=tj&p_id=<%=rs("p_id")%>>取消推薦</a>
<%end if%>



當輸出的字符大於設定的值時,顯示"......"
<%
function cutstr(tempstr,tempwid)
if len(tempstr)>tempwid then
cutstr=left(tempstr,tempwid)&"..."
else
cutstr=tempstr
end if
end function%>





來一個能過濾特殊字符和處理數字的增強型字符串過濾函數,可能考慮得不完善,請指教。要防止SQL注入,除了過濾單引號和逗號,還需要過濾其它什麼字符嗎?過濾分號是否顯得多餘?
另外,對單引號的處理有幾種,一是直接去掉,一是將一個單引號變兩個,我這裡將英文單引號過濾為中文單引號,不知道有沒有問題?

<%
'對輸入的數據進行處理,防止異常錯誤和SQL注入攻擊
'strtype的解釋:n->數字,t->段落,其它->普通單行字符串
Function safeinput(text,strtype)
        dim tempstr
        tempstr  = text
        tempstr = replace(trim(tempstr),";",";")       '過濾分號
        tempstr = replace(trim(tempstr),"'","』")          '過濾單引號
        tempstr = replace(trim(tempstr),",",",")        '過濾英文逗號
        if strtype = "n" then    '過濾數字
                tempstr = replace(trim(tempstr),",","")    '去掉數字當中可能出現的逗號分隔符,這裡是中文逗號。英文的前面已經過濾了。
                tempstr = replace(trim(tempstr),"』","")     '如果數字中有單引號,前面會替換成中文的單引號。這裡把單引號去掉
                tempstr = replace(tempstr,"。",".")    '過濾句號。有的人在中文輸入狀態下常把小數點打成中文句號,這裡替換成英文小數點
                tempstr = replace(tempstr,".",".")    '全角的英文句號,同上,過濾之。
                if IsNumeric(tempstr) then    '判斷過濾後的字符串是否是數字,如果是則進行數據類型轉換,如果不是,說明還有其它非數字字符,這裡統一轉變為0
                        tempstr = Csng(tempstr)
                else
                        tempstr = 0
                end if
        elseif strtype = "t" then     '過濾一段文字。一段文字存入數據庫需要轉換空格和換行,也一併放在這裡處理。
                tempstr=replace(tempstr,chr(13),"<br>")
                tempstr=replace(tempstr,chr(32),"&nbsp;")
        end if
        safeinput = tempstr
End Function
%>

調用方法:
dim newstr,newtext,newnum
newnum = safeinput(request.Form("oldnum"),"n")   '作為數字過濾
newtext = safeinput(request.Form("oldtext"),"t")    '作為段落文字過濾
newstr = safeinput(request.Form("oldstr"),"s")    '作為普通字符串過濾


來源:藍森林 http://www.lslnet.com

    全站熱搜

    sleepingwolf 發表在 痞客邦 留言(0) 人氣()