请教大家关于1‘or’1‘=’1的问题！！！ - ASP技术论坛

| 网站首页 | 业界新闻 | 小组 | 威客 | 人才 | 下载频道 | 博客 | 代码贴 | 在线编程 | 编程论坛 |

编程论坛 → WEB开发 → 『 ASP技术论坛』 → 请教大家关于1‘or’1‘=’1的问题！！！

我的收件箱(0)

欢迎加入我们，一同切磋技术

共有 834 人关注过本帖

标题：请教大家关于1‘or’1‘=’1的问题！！！

只看楼主加入收藏

guan_feng

等　级：新手上路
帖　子：8
专家分：0
注　册：2005-5-21

楼主

问题点数：0 回复次数：6

请教大家关于1‘or’1‘=’1的问题！！！

这个asp关于登陆漏洞的问题怎么解决请各位大虾帮我解决一下！！多谢！！

为什么1‘or’1‘=’1将上述字段填写在登陆框中就可以不用注册直接登陆！！？？

搜索更多相关主题的帖子: 漏洞　字段　登陆　

2005-06-01 23:54

yms123

等　级：版主
威　望：209
帖　子：12488
专家分：19042
注　册：2004-7-17

第 2 楼

得分:0

没听说过那个地方有这个漏洞?

2005-06-02 00:31

guan_feng

等　级：新手上路
帖　子：8
专家分：0
注　册：2005-5-21

第 3 楼

得分:0

这是我们常用的一段登陆程序：
name=request("name")
password=request("password")
sql="select * from [数据库表] where name='"&name&"' and password='"&password&"'"
rs.open sql,conn,1,1
if rs.bof or rs.eof then
response.write"不能登录管理"
else
response.write"可以登录管理"
end if

可以在name框跟password框里都输入以下内容
1' or '1'='1
这样就可以登陆网站后台充当网站的管理员更改信息！！
请各位大虾帮忙说说原因和解决办法！！我先在这里谢谢大家了！！

2005-06-02 02:45

无根泉

等　级：新手上路
威　望：4
帖　子：853
专家分：0
注　册：2004-11-4

第 4 楼

得分:0

[CODE]name=request("name")
password=request("password")
sql="select * from [数据库表] where name='"&name&"' and password='"&password&"'"　''
rs.open sql,conn,1,1
if rs.bof or rs.eof then
response.write"不能登录管理"
else
response.write"可以登录管理"
end if[/CODE]
改成这样就行了，
name=request("name")
password=request("password")
sql="select * from [数据库表] where name='"&name&"' "
rs.open sql,conn,1,1
if rs.bof or rs.eof then
response.write"不能登录管理"
elseif trim(rs("password"))<>password then
response.write"密码不正确！"
else
response.write"可以登录管理"
end if

我很菜，但我很努力！

2005-06-02 07:53