求助：防SQL注入代码运行的疑惑
有如下简化的正则表达式用于防SQL注入检测：
（我简化出的发生疑惑的代码）

<%
Dim regEx, Match, sValue
Set regEx = New RegExp
regEx.IgnoreCase = True
regEx.Global = True
regEx.MultiLine = True
regEx.Pattern = "'|;|%|=|""|#|([\s\b+()]+(select|update|insert|delete|declare|@|exec|dbcc|alter|drop|create|backup|if|else|end|and|or|add|set|open|close|use|begin|retun|as|go|exists|script)[\s\b+]*)"
sValue = "SELECT" '被检测的关键字
If regEx.Test(sValue) Then
    Response.Write "Find !"
else
    Response.Write "Not Find !"
End If
%>

以上代码运行时返回的居然是 "Not Find !"
而如果在关键字前面加上一个空格，变为这样：

sValue = " SELECT"

即可检测到，返回结果 "Find !"

不知何故，难道是上面的正则表达式构造有问题？
[解决办法]
用*取代+
[\s\b+()]*(select

不用SQL拼接就可以防注入了，不需要过滤这些字符。
[解决办法]
你吧 and or use go 什么的通通都不合法了,有很多还是常用字符串呢,你怎么知道是攻击而不是用户的正常输入?用户需要输入含某个关键字的字符串怎么办?
感觉只需替换掉'防止结束字符串就可以了
当然最好的办法是楼上说的不用字符串拼接sql语句,使用数据库提供的参数传递方式
[解决办法]
首先要加强类型控制。
[解决办法]
[\s\b+()]+(select
[解决办法]
从这里就可以看到select前面必须还有其他字符才可以检测到。
[解决办法]
所谓的通用防注入，都常都是防自己，防不了别人。
其实只要作好两点，就基本上可以防止绝大多数注入了，不用搞这么麻烦。
一是字型串参数过滤掉单引号。
二是数值型参数判断一下类型。
[解决办法]
#region 防止SQL注入
/// <summary>
/// 文本格式化方法：防止sql注入错误
/// </summary>
/// <param name="strInfo">待格式化文本</param>
/// <returns>格式化后文本</returns>
public static string sqlFormat(string strInfo)
{
#region 文本格式化方法：防止sql注入错误

strInfo = strInfo.Replace("'", "");
strInfo = strInfo.Replace("`", "");
strInfo = strInfo.Replace("~", "");
strInfo = strInfo.Replace("+", "");
strInfo = strInfo.Replace("%", "");
// strInfo = strInfo.Replace(":", "");
strInfo = strInfo.Replace("<", "");
strInfo = strInfo.Replace(">", "");
// strInfo = strInfo.Replace("_", "");
strInfo = strInfo.Replace("[", "");
strInfo = strInfo.Replace("]", "");
strInfo = strInfo.Replace("{", "");

strInfo = strInfo.Replace("}", "");
strInfo = strInfo.Replace("^", "");
strInfo = strInfo.Replace("‘", "");
strInfo = strInfo.Replace("’", "");
strInfo = strInfo.Replace("“", "");
strInfo = strInfo.Replace("”", "");
strInfo = strInfo.Replace("。", "");
strInfo = strInfo.Trim();

return strInfo;

#endregion
}
#endregion
[解决办法]
IIS传递给asp.dll的get 请求是是以字符串的形式，，当 传递给Request.QueryString数据后，asp解析器会分析Request.QueryString的信息，，然后根据"&"，分出各个数组内的数据所以get的拦截如下：

　　首先我们定义请求中不能包含如下字符：

'
[解决办法]
and
[解决办法]
exec
[解决办法]
insert
[解决办法]
select
[解决办法]
delete
[解决办法]
update
[解决办法]
count
[解决办法]
*
[解决办法]
%
[解决办法]
chr
[解决办法]
mid
[解决办法]
master
[解决办法]
truncate
[解决办法]
char
[解决办法]
declare

　　各个字符用"
[解决办法]
"隔开，，然后我们判断的得到的Request.QueryString，具体代码如下 ：

dim sql_injdata
SQL_injdata = "'
[解决办法]
and
[解决办法]
exec
[解决办法]
insert
[解决办法]
select
[解决办法]
delete
[解决办法]
update
[解决办法]
count
[解决办法]
*
------解决方案--------------------

%
[解决办法]
chr
[解决办法]
mid
[解决办法]
master
[解决办法]
truncate
[解决办法]
char
[解决办法]
declare"
SQL_inj = split(SQL_Injdata,"
[解决办法]
")
If Request.QueryString＜＞"" Then
　For Each SQL_Get In Request.QueryString
　　For SQL_Data=0 To Ubound(SQL_inj)
　　　if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))＞0 Then
　　　　Response.Write "＜Script Language=****＞alert('SQL通用防注入系统提示↓nn请不要在参数中包含非法字符尝试注入！');history.back(-1)＜/Script＞"
　　　　Response.end
　　　end if
　　next
　Next
End If

　　这样我们就实现了get请求的注入的拦截，但是我们还要过滤post请求，所以我们还得继续考虑request.form,这个也是以数组形式存在的，我们只需要再进一次循环判断即可。代码如下：

If Request.Form＜＞"" Then
　For Each Sql_Post In Request.Form
　　For SQL_Data=0 To Ubound(SQL_inj)
　　　if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))＞0 Then
　　　　Response.Write "＜Script Language=****＞alert('SQL通用防注入系统提示↓nn请不要在参数中包含非法字符尝试注入！nnHTTP://www.521movie.com ');history.back(-1)＜/Script＞"
　　　　Response.end
　　　end if
　　next
　next
end if

　　好了大功告成，我们已经实现了get和post请求的信息拦截，你只需要在conn.asp之类的打开数据库文件之前引用这个页面即可