|
|奔日网技术学堂欢迎您
tech.8BR.NET|
大家看看下面的一段
name=request("name")
password=request("password")
sql="select * from [数据库表] where name=’"&name&"’ and password=’"&password&"’"
rs.open sql,conn,1,1
if rs.bof or rs.eof then
response.write"不能登录管理"
else
response.write"可以登录管理"
end if
这是常见的登录代码,看起来并没有错,但存在十分严重的漏洞(应该很多人知道吧,我只是提醒不知道的人)。
你可以试试在name框跟password框里都输入以下内容
1’ or ’1’=’1
怎么样,看到了吧?不用我说你都知道是怎么回事了。
可以过滤’和=,这样就不会被人用万能密码了,呵呵。
name=replace(name,"’","‘")
你的程序不会出现这样的问题吧,如果……………………
|
发表对
ASP登录鲜为人知的漏洞
的评论 请文明聊天 |
|点此可收藏|或发表对本篇的评论
|