if instr(sTextAll， sNoString(i)) <> 0 then

sFile = Upl.Path & sFileSave: fs.DeleteFile sFile

Response.write " "& sFileSave &"文件中含有与操作目录等有关的命令"&_

"

"& mid(sNoString(i)，2) &"，为了安全原因，不能上传。"&_

"

"

Response.end

end if

next

程序体(10)

把他们加到你的上传程序里做一次验证，那么你的上传程序安全性将会大大提高.

什么?你还不放心?拿出杀手锏，请你的虚拟主机服务商来帮忙吧。登陆到服务器，将PROG ID 中的"shell.application"项和"shell.application.1"项改名或删除。再将"WSCRIPT.SHELL"项和"WSCRIPT.SHELL.1"这两项都要改名或删除。呵呵，我可大胆的说，国内可能近半以上的虚拟主机都没改过。只能庆幸你们的用户很合作，否则......我删，我删，我删删删......

小结

如何更好的达到防范SQL Injection的攻击?这里我个人给推荐几个办法，第一，免费程序不要真的就免费用，既然你可以共享原码，那么攻击者一样可以分析代码。如果有能力的站长最好还是更改一下数据库表名，字段名，只修改关键的admin， username， password就可以了，比如forum_upasswd 这样的字段名谁能猜到?如果你猜到了，最好赶快去买彩票吧，特等奖不是你还会有谁呢?另外，一般站点的关键就在于管理员的密码，很好的保护好你的管理员密码那是至关重要的，至少10位的数字字母组合。另外加上现在大多数站点程序都会使用MD5来加密用户密码，加上你密码的强壮性，那样你站点的安全性就大大的提高了。即使出现了SQL Injection漏洞，攻击者也不可能马上拿下你的站点。