简单入侵收费电影网站! ZT

lily1978

你们看看有技术含量的sql injection攻击

http://angel.50m.org/article/17.htm

这样才具有真正的杀伤力的！！

解决方法就太多了，这里我们只是提醒提醒在做开发的时候写程序的时候还是要谨慎的！

最简单的就是
on error resume next
replace(str,"'","''"
'单引号替换为双引号
replace(str,"'",""
'单引号替换为空


..................................
if err.number>;0 then
   response.write("<script>;alert("数据错误";history.go(-1);</script>;"
end if

lily1978

原帖由 "e4gle" 发表：
嗯，司mm说的不错，最近成长挺快啊

不过这样的文章我不太赞同，没什么技术含量，还有夸耀的成分在里面

   

我也是这么觉得的，因为在这个例子中有一个至关重要的问题没有写到~~
我们怎么得到这个admin的表，实际中当你看到了http://XXXXXX/xx.asp?id=xxx
的时候是可以用来执行你想写的SQL语句的，看是我们这么判断里边所说的那些表了？？

在现实中是除了共享程序外是很难通过楼上文章的方法来破解网站的。