【99%的人没见过的ASP注入，等待高手解决,急。。。。。。。。。 】

2、新增和更新使用ADODB.RecordSet的AddNew和Update方法，rs(???) = "***"，文本类型的数据使用这种方法是非常好的，可以[容纳]任何SQL注入，颇有九阳神功里"他强任他强，清风拂山岗；他狠任他狠，明月照大江。"的大家风范。数字类型的字段，则要配合类型转换使用。Update还有个好处就是新增数据后，马上可以获得刚新增数据里的IDENTITY的值。

3、类型转换要强制执行，例如非数字或者超过类型范围的数据转数字，强制为0，这里我写有个例子，自己去看，我就不复制代码了：http://community.csdn.net/Expert/topic/5541/5541503.xml?temp=.6943628

顺便提供由它扩展的几个快捷类型转换

"Variant To Integer

Public Function atoi(vtIn)

atoi = ChangeType(vtIn, vbInteger)

End Function

"Variant To Long

Public Function atol(vtIn)

atol = ChangeType(vtIn, vbLong)

End Function

"Variant To Double

Public Function atof(vtIn)

atof = ChangeType(vtIn, vbDouble)

End Function

"Variant To String

Public Function atos(vtIn)

atos = ChangeType(vtIn, vbString)

End Function

4、不要满目信任任何Request.ServerVariables("HTTP_***")的数据，同样，基于Request.ServerVariables("HTTP_COOKIE")的Request.Cookies也不要相信