今天在處理電子電器交易網（www.hifi168.net ）的安全問題。檔案上傳漏洞是asp網站之痛。在處理這個問題時，動用了雙層機制：

1、使用者許可權檢查。由於後臺許可權是靠session來控制了，這個很容易辦到。

2、來源頁面檢測。檔案是從哪裡提交上來的？能不能在本地建立一個站點，把頁面POST到遠端的站點呢？我不是專門做掛馬工作的，沒有測試過。不過為了防止這種情形，接收上傳檔案的頁面需要做來源頁面核對。這就用到了Request.ServerVariables("HTTP_Referer") 引數了。這個引數可以取得傳入資料的來源頁面地址。對它做判斷，如果是站內提交就接受，站外提交就拒絕（本想轉向一些包含病毒的網站，奈何手頭沒有合適的網址，就算了）。

至於上面出現的錯誤：

Microsoft VBScript 編譯器錯誤 (0x800A0414)
呼叫子程式時不能使用括號

是在呼叫函式時碰到的。函式如果包含2個以上的引數，調的方式就比較煩人。原則是：有call時加括號，沒有call時不用括號。但是也有例外，就是在方法中呼叫函式，是可以沒有Call並加括號的，例如：

Response.Write(MyFunction(parameter1,parameter2))

至於說要在引數間加空格，或者有沒有返回值影響函式的呼叫方法，參考資料如下，但我不認為是正確的！

以下網路上的參考資料，只做參考，不保證正確！

一般情況下，這種錯誤出現在呼叫的過程沒有返回值的情況。應該來說，就是呼叫引數賦值錯誤。出現這種錯誤，使用CALL 就是可以解決的。
不返回值的過程呼叫不能加括號，應該這樣寫
treesort cat_ID,childcount

如果實在不習慣，可以在前面加Call來呼叫
Call treesort(cat_ID,childcount)

也就是所謂的有call時加括號，沒有call時不用括號。另外，在函式名和引數間要加個空格

另：呼叫程式是顯示呼叫子程式時不能使用括號 如set("ab",90) 加上call後正常