我一套后台完全是根据各个用户信息登陆的。这样他们就可以进入一个统一的后台，但是所有房产信息调用全是个人自己的，但是有的人登陆后直接输入执行删除程序，根据房产信息id就可以直接删除其他人信息了，呵呵

id=Trim(Request.QueryString("id"))
set rs1 = Server.CreateObject("adodb.recordset")
conn.execute "select user_id from cs where sh_id="&id
if rs1("user_id")<>session("passname") then （用户信息）
response.Write"无全删除"
response.End()
end if
还可以啊？

[此贴子已经被作者于2007-9-16 19:10:16编辑过]

楼主可以把用户id先放入房产信息表，删除时判断用户id，如果操作的id和用户id相同则可以操作，否则不允许操作。

对的啊， 我就是这样操作的啊，看上面的程序怎么样啊？

方法就是这样，可以具体操作一下试试。

页头判断　

if session("admin")<>"adminname" then
response.redriect(" http://192.168.1.9 ")
end if

问题已经研究解决了，谢谢大家

"delete from TAB where id="&request("id")&" and 发布者='" & user & "'"

where 条件加上用户判断,当然这里很可能需要用到多表链接

admin_del.asp?id=5%10%13select & from TAB where 1=1

%10%13是CrLf换行符

那是不是会导致注入？

呵呵,楼上说的是.
给 CLng(request("ID")) 好了,注入就让它报错去,如何