ASP只是一種技術,只是一種運行環境,并不是后臺管理系統都是asp的,也可以是PHP或JSP或CGI或ASPX或其它的技術的,只不過ASP是目前比較流行的技術罷了。 你說的那個'or'='or' 的漏洞,只不過是程序書寫時的邏輯漏洞了,并不是ASP本身的漏洞,這種漏洞叫“Injection注入漏洞”,它的原理是這樣的:當用戶輸入用戶名和密碼時,提交一個精心構造的用戶名“a or username<>'a”,密碼是:“a or pwd<>'a”,而程序的判斷語句是:select * from user_table where username=用戶名 and pwd=密碼 但是,把上面的用戶名和密碼帶起去后就變成:select * from user_table where username=a or username<>a and pwd=a or pwd<>a,就變成上面的SQL語句了,在這種情況下,就出現了邏輯漏洞了,程序會認為用戶名和密碼都正確,就會把用戶名賦給正確的session,這樣就進入后臺了,解決辦法是用replace()函數過濾掉“'”,再次就是用戶名和密碼的輸入框里限制輸入的字符數,其實,如果對方不知道用戶名和密碼在數據庫里的字段的話,是無法破解成功的。
