标题:请教大家关于1‘or’1‘=’1的问题!!!
只看楼主
guan_feng
Rank: 1
等 级:新手上路
帖 子:8
专家分:0
注 册:2005-5-21
 问题点数:0 回复次数:6 
请教大家关于1‘or’1‘=’1的问题!!!
这个asp关于登陆漏洞的问题怎么解决请各位 大虾帮我解决一下!!多谢!!

为什么1‘or’1‘=’1将上述字段填写在登陆框中就可以不用注册直接登陆!!??
搜索更多相关主题的帖子: 漏洞 字段 登陆 
2005-06-01 23:54
yms123
Rank: 16Rank: 16Rank: 16Rank: 16
等 级:版主
威 望:209
帖 子:12488
专家分:19042
注 册:2004-7-17
得分:0 
没听说过那个地方有这个漏洞?
2005-06-02 00:31
guan_feng
Rank: 1
等 级:新手上路
帖 子:8
专家分:0
注 册:2005-5-21
得分:0 
这是我们常用的一段登陆程序:
name=request("name")
password=request("password")
sql="select * from [数据库表] where name='"&name&"' and password='"&password&"'"
rs.open sql,conn,1,1
if rs.bof or rs.eof then
response.write"不能登录管理"
else
response.write"可以登录管理"
end if


可以在name框跟password框里都输入以下内容
1' or '1'='1
这样就可以登陆网站后台充当网站的管理员 更改信息!!
请各位大虾帮忙说说原因和解决办法!!我先在这里谢谢大家了!!

2005-06-02 02:45
无根泉
Rank: 2
等 级:新手上路
威 望:4
帖 子:853
专家分:0
注 册:2004-11-4
得分:0 
[CODE]name=request("name")
password=request("password")
sql="select * from [数据库表] where name='"&name&"' and password='"&password&"'" ''
rs.open sql,conn,1,1
if rs.bof or rs.eof then
response.write"不能登录管理"
else
response.write"可以登录管理"
end if[/CODE]
改成这样就行了,
name=request("name")
password=request("password")
sql="select * from [数据库表] where name='"&name&"' "
rs.open sql,conn,1,1
if rs.bof or rs.eof then
response.write"不能登录管理"
elseif trim(rs("password"))<>password then
response.write"密码不正确!"
else
response.write"可以登录管理"
end if

我很菜,但我很努力!
2005-06-02 07:53
hxfly
Rank: 5Rank: 5
等 级:贵宾
威 望:17
帖 子:5807
专家分:108
注 册:2005-4-7
得分:0 
看本版块置顶的文章里面有

2005-06-02 08:31
逍遥泪
Rank: 1
等 级:新手上路
帖 子:1
专家分:0
注 册:2005-6-4
得分:0 
最好的方法是把'替换'
2005-06-04 09:39
ymeng
Rank: 1
等 级:新手上路
帖 子:3
专家分:0
注 册:2005-9-13
得分:0 
将 '  过滤掉就可以了

2005-10-04 01:36



参与讨论请移步原网站贴子:https://bbs.bccn.net/thread-19872-1-1.html




关于我们 | 广告合作 | 编程中国 | 清除Cookies | TOP | 手机版

编程中国 版权所有,并保留所有权利。
Powered by Discuz, Processed in 0.092821 second(s), 7 queries.
Copyright©2004-2024, BCCN.NET, All Rights Reserved