在ASP編程中，身份認證可以說是常要用到的。但怎么樣才能做到認證的安全呢？

表單提交頁面：sub.htm 

大家感覺以上代碼應該沒問題啊，但是這里有一個嚴重的安全隱患：

我如果想登錄管理員的話可以在SUb.htm表單輸入框中輸入：

第一個文本框中輸入：a or 1 = 1 或 OR =

第二個文本框中輸入：a or 1 = 1 或 OR =

提交，大家會看到...“嗚，聽我說完好不好，磚頭一會再丟過來..."

"a " 和“1”為任意字符

有人會問為什么你輸入這些字符會以管理員身份進入呢？？

其實這些字符是對你程序中SQL語言的欺騙，而成功進入的

大家看：開始程序SQL中是對表進行查詢滿足user= "&user&" and pass= "&pass&" "條件的記錄

sql="select * from 表 where user= "&user&" and pass= "&pass&" "

我而輸入上面的代碼后就成了：

sql="select * from 表 where user= a or 1 = 1 and pass= a or 1 = 1 "

大家看看，能有不進入的理由嗎？？給我一個不進入的理由，先！

以上USER PASS字段為字符型 如果是數字型也一樣的道理！

解決方法：

一、函數替代法：

用REPLACE將用戶端輸入的內容中含有特殊字符進行替換，達到控制目的啊！sql="select * from 表 where user= "&replace(user," "," ")&" and pass= "&replace(pass," "," ")&" "

這種方法每次只能替換一個字符，其實危險的字符不只是" "，還有如">"、"<"、"&"、"%"等字符應該全控制起來。但用REPLACE函數好象不太勝任那怎么辦呢？？

二、程序控制法

用程序來對客戶端輸入的內容全部控制起來，這樣能全面控制用戶端輸入的任何可能的危險字符或代碼，我就的這個方法！