有一登陆界面，输入字母、符号不用密码也能进去，而且加了判断也没用，麻烦各位高手帮忙看看：
代码如下：
<!--#include file="..\Data\Data_connect.asp"-->
<%
uid=trim(Request("user_name"))
upwd=trim(Request("user_password"))
role=trim(Request("user_role"))

if uid="" then
  Response.Write "<script language=JavaScript>{window.alert('登录帐号不得为空!');window.history.go(-1);}</script>"
end if
if instr(1,uid,",")>=1 then
  Response.Write "<script language=JavaScript>{window.alert('登录帐号不得包含逗号!');window.history.go(-1);}</script>"
end if
if instr(1,uid,"'")>=1 then
  Response.Write "<script language=JavaScript>{window.alert('登录帐号不得包含单引号!');window.history.go(-1);}</script>"
end if
   '判断帐号及密码是否正确
set recCheckUser=server.CreateObject("ADODB.recordset")
if role="教 师" then
strSQL="select * from [user] where name_id='"&uid& "' and password='"&upwd& "'"
recCheckUser.Open strSQL,conn,1,1
if not recCheckUser.EOF then
    '如果用户帐号及密码正确
    session("User")=uid
    Session("Department")=recCheckUser("department")
    response.redirect "../Worker/index.asp"
else
    '用户帐号及密码不正确
      recCheckUser.Close
      set recCheckUser=nothing
      set conn=nothing
    Response.Write "<script language=JavaScript>{window.alert('您输入的帐号及密码错误，请重新输入!');window.history.go(-1);}</script>"
end if
end if
if role="管 理" then
strSQL="select * from [admin] where name='"&uid& "' and password='"&upwd& "'"
recCheckUser.Open strSQL,conn,1,1
if not recCheckUser.EOF then
    '如果用户帐号及密码正确   
    session("User")=uid
    Session("Department")=recCheckUser("department")
    Session("Role")=recCheckUser("role")
    response.redirect "../System/System_Index.asp"
else
    '用户帐号及密码不正确
      recCheckUser.Close
      set recCheckUser=nothing
      set conn=nothing
    Response.Write "<script language=JavaScript>{window.alert('您输入的管理员帐号及密码错误，请重新输入!');window.history.go(-1);}</script>"
end if
end if
%>

.....
upwd=trim(Request("user_password"))
.....
if role="管 理" then
strSQL="select * from [admin] where name='"&uid& "' and password='"&upwd& "'"
recCheckUser.Open strSQL,conn,1,1
if not recCheckUser.EOF then
.....

所以如果我登陆时用的密码是>' or '1'='1<箭头中间的部分，那么strSQL就是
select * from admin where name='...' and password='' OR 1=1
于是就不是eof了，于是就登录成功了。
这就是为什么数据库里密码要哈希，登录时也要哈希，因为可以防止特殊符号（当然还有别的目的）。

那应该怎么修改呢

replace(str,"'","‘")

过滤单引号

现在是应该怎么改能判断字母，符号呢？因为现在字母，符号根本就不用验证就进到系统了，如果要加验证语句，应该怎么加呢？

现在是应该怎么改能判断字母，符号呢？因为现在字母，符号根本就不用验证就进到系统了，如果要加验证语句，应该怎么加呢？

这样，一种思路是过滤(单)引号

upwd=Replace(upwd,"'","''")

一种思路(preferred)是给数据库里的密码字段哈希，就是说存进去的密码是哈希过的，登录时也用哈希过的用户输入的密码与数据库里的比对：

' 存入数据库的代码
rs("password")=Hash(request("pwd"))


' 登陆判断
strSQL="select id from My_Users where username='" & Replace(Request("username") & "","'","''") & "' and password=" & Hash(Request("pwd")) & "'"

hash函数要自己定，原则是减少碰撞概率。广泛使用的哈希函数是MD5，代码见任何asp的cms。

试了 还不行。。

“还不行”

不行也说说是怎么不行，是原来的漏洞还在，还是根本没法登录了？是更换了登录验证方式之后不会在数据库里加初始记录，还是不理解“哈希”的含义？