dvbbs
收藏本页
联系我们
论坛帮助
dvbbs

堕落街论坛休闲之乐游戏体育 → 让管理员登陆形同虚设


  共有967人关注过本帖树形打印

主题:让管理员登陆形同虚设
帅哥哟,离线,有人找我吗?
亦秋
   1楼 个性首页 | 博客 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 论坛元老
等级:小四 主题:78 精华:0 贴子:279 排名:0 威望:2 排名:538 注册:2003/7/13 19:54:00 近访:2010/4/2 1:34:18 		让管理员登陆形同虚设  发贴心情 Post By:2003/7/26 11:26:00

适用于: *以ASP为核心的、未改正此问题的所有论坛 *在“管理员登录”叶面上,用户名、密码都输入 'or" 就可以了。 *原理: *利用了SQL语句select * from xxx where user= (uesr) and password= (password)的问题!


我在天空写下你的名字,却被风吹走了;

我在沙滩上写下你的名字,却被海浪带走了;

我在墙角写下你的名字,哎呀,妈呀,我却被警察带走了
支持(0中立(0反对(0回到顶部
帅哥哟,离线,有人找我吗?
楚狂
   2楼 个性首页 | 博客 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:小五 主题:20 精华:0 贴子:373 排名:0 威望:2 排名:538 注册:2003/7/25 12:18:00 近访:2005/12/4 0:00:22 		  发贴心情 Post By:2003/7/26 11:44:00

只有白痴程序员才会编出这样的代码 哪有提交的变量不经过检查的阿? 而且单引号和空格是重点检查对象`


惟楚有狂于斯为盛
支持(0中立(0反对(0回到顶部
帅哥哟,离线,有人找我吗?
亦秋
   3楼 个性首页 | 博客 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 论坛元老
等级:小四 主题:78 精华:0 贴子:279 排名:0 威望:2 排名:538 注册:2003/7/13 19:54:00 近访:2010/4/2 1:34:18 		  发贴心情 Post By:2003/7/26 19:26:00

这是我在一个黑客论坛上转过来的,起初也觉得是 但是经过他们测试,还是有很多站点是可以这样搞定,所以贴出来,希望大家小心点!


我在天空写下你的名字,却被风吹走了;

我在沙滩上写下你的名字,却被海浪带走了;

我在墙角写下你的名字,哎呀,妈呀,我却被警察带走了
支持(0中立(0反对(0回到顶部
帅哥哟,离线,有人找我吗?
楚狂
   4楼 个性首页 | 博客 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:小五 主题:20 精华:0 贴子:373 排名:0 威望:2 排名:538 注册:2003/7/25 12:18:00 近访:2005/12/4 0:00:22 		  发贴心情 Post By:2003/7/26 20:28:00

動網論壇肯定沒有這麽弱智的漏洞 經過了千錘百煉的阿


惟楚有狂于斯为盛
支持(0中立(0反对(0回到顶部
帅哥哟,离线,有人找我吗?
开心就好
   5楼 个性首页 | 博客 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 建设杰出元老执法TS
等级:宝宝 主题:1152 精华:1 贴子:7628 排名:107 威望:125 排名:2 注册:2003/7/9 8:19:00 近访:2026/1/14 15:15:02 		  发贴心情 Post By:2003/7/27 9:57:00

呵呵,俺承认,俺刚学asp一个月的时候,被人用这种办法进入了留言薄的管理界面. 问题虽小,但造成的危险却很大,所以如果使用Asp的话,最好不要用这条语句. 建议通过用户名取出密码,然后在比较密码是否相同.


收售苹果Mac mini及其配件。
微信ID:kk_bulao
支持(0中立(0反对(0回到顶部
RSS2.0  Xhtml无图版  Xslt无图版    Powered By Dvbbs Version 8.2.0
页面执行时间 00.06250 秒, 2 次数据查询