返回之后，显然又使用了url?xx=xxx&xx=xxx这样的url，于是又自动登录，这样安全性就没有了，我看示例代码上也没有相应的处理，各位给点建议吧，谢谢了

那你退出返回直接给个地址不就解决了吗

你用SESSION保存了吗?或其它的,如果用SESSION保存的话,退出的时候要清空就可以了.不然就会不用登陆也可以上的

但是浏览器返回有缓存的啊，用户从浏览器点击返回才出现这个问题

可能问题在这里，因为要先验证
所以我是这样写的
<%
user= request.form("username")
passwd =...

if(validate(user, passwd)) {
  session("username") = user;
} else {
redirect...
}
%>

这样的话只要用了那个url，session肯定会被正确写入,但是要是在登录页,那就失去验证的意义了

if session("username")=""
  输入登陆信息
else
  登陆之后信息
end if

退出的时候清空session怎么会又登陆呢?你又自动提交表单了?
我都迷糊了

人家的浏览器有缓存的确是个问题, 但仅仅是道德方面的, 你可以请求浏览器不缓存:

Response.AddHeader("Cache-Control","no-cache")

提交的时候,是用url参数提交的url?user=xx&passwd=xxx
当你退出，然后返回的时候，还是会返回到这条url上，那不就重新登录了吗

url?user=xx&passwd=xxx
啊？怎么用这种方式呢？这样在后台别人不是可以在地址栏看到你的登录信息了？还是用post安全些吧。再用session来就可以解决的，我自己学习的时候就是用这个。

同意 用post实现