调试易

用户可不可能利用引号而使原本平常的，比如insert、select语句，变成会导致不良后果的语句？

如果没有没有屏蔽引号，可以出现很多麻烦，（一般黑客用的多）如：可以登陆网站
在用户名中输入aaa' or '1=1' 等等，没有研究头，总之赶快屏蔽，不然就会被黑

hu1dao(胡一刀)所说的还是小麻烦,利用这个漏洞你以调用SQL的内部存储过程,如果连接使用的帐号是sa或者有相当权限,可以在SQL中增加帐号,删除数据库,把数据备份到客户端,这都是很可怕的.

什么引号处理？？能不能讲清楚点？？？
to tripofdream ：
     会有那么危险吗？？？什么网站有介绍？？

什么网站有介绍不记得了,不过如果有兴趣可以看看这个贴:
http://211.101.228.186/expert/topic/251/251405.shtm

http://www.xfocus.org/安全焦点是个很不错的关于安全的网站.

设计ASP的时候一定要屏蔽单引号，因为传到数据库中执行的语句中的字符串都是用单引号引起来的。
另外还要屏蔽的符号有\/%<>等。其实屏蔽的方法很简单，在单引号之前再加一个单引号就可以了。其他的可以用转义字符来表示。

to likeasp:
    能不能谈谈为什么连空格逗号都要屏蔽掉？
to all:
    马上给分。

我的办法是
ON ERROR RESUME NEXT
Err.Clearconn.execute("select * from A where " + Condition)      '错误的SQL
if Err.Code <> 0 then
    response.write "错误的SQL"
    '错误SQL的处理
else
    response.write "正确的SQL"
    '证明SQL是正确的。
end if
Err.Clear

也许可以用括号将每个条件引起来。
如：select * from class where （(ID= ' ' ) AND (pwd= )）
这样的情况，如果输入' or '1'='1就会变成
select * from class where （(ID= '' or '1'='1') AND (pwd= ) ）
另外如果输入';exec sp_...
select * from class where （(ID= '';exec sp_...) AND (pwd= )）
因此，导致括号匹配不完整，可以防止恶意的破坏。
这种方法就有一定的效果。

如果你不把字符串中的“'”再加一个“'”的话，又让别人知道你的语句的话，他甚至可以删表比如你的语句：
conn.execute("select * from A where " + Condition)      如果用 Condition =“1=1  drop table A”作参数，
你害怕吗比如你的语句：
conn.execute("select * from A where A.Field1='" + Condition+"'")
      
如果用 Condition =“a' and 1=1 drop table A select * from A where A.Field1='”作参数，
你害怕吗

后果大家说了很多了，我只是建议你把单引号replace()掉，不然很不健壮的！

insert into table values(?,?,?)
If u know what's this and how to use, u should know what i'm talking about.:)

I DON'T KNOW IN FACT. NEED YOUR HELP.