asp请问如何解决登陆验证漏洞 -- 蓝丽技术论坛.htm

ASP漏洞全接触——入门篇 ASP数据库问题安全之我见 如何解决登陆漏洞问题

很想和大家一起交流
</div>

</td></tr><Tr><Td align=right colspan=2>
<a href='boos.asp?dex=3&areyou=修改&myclass=6898&isdex=false&page=2'>修改</a> 
<a href='javascript:if(confirm("确实要删除该贴吗?"))location="boos.asp?dex=3&areyou=删除&myclass=6898&isdex=false&page=2"'>删除</a> - <a href='duanxiaoxi.asp?emailto=wwwzzz' lshdic='发敬告/警告,提醒作者' target='_blank'>短信敬告</a> <a href='ismy.asp?user=wwwzzz&loveyou=true' lshdic='+版主级别*4分'>奖分</a> <a href='ismy.asp?user=wwwzzz&killyou=true' lshdic='-级别*4分'>减分</a> <a href='xunzhang.asp?touser=wwwzzz' target='_blank'>奖勋章</a>
</td></tr>

</script>
<tr><Td bgcolor=#BBE2F5 colspan=2 style='border-top:1 solid white;border-bottom:1 solid white;'><img src='image/yellowfile.gif' width=13 height=13> 跟贴:第<font color=red><b> 11 </b></font>楼 
回复针对<a href='javascript:pos1.filetxt.focus();pos1.filetxt.value="[table][b]To:第[color=red]11[/color]楼的[color=red]bbsyd[/color]朋友[/b][/table]\n";void(0);'>bbsyd</a>,回复引用<a href='javascript:pos1.filetxt.value="[table][b]以下是引用[color=red]11[/color]楼[color=red]bbsyd[/color]朋友的论点:[/b]\n"+htmdiv6.innerText.substr(0,htmdiv6.innerText.length-87)+"[/table]\n";pos1.filetxt.focus();;void(0);'>bbsyd</a>

</td></tr><Tr>
<Td width=130 align=center valign=top>&nbsp;<br>
<a href='image/user38.gif' target="_blank"><img src='image/user38.gif' style='margin-left:5;display:none' onload='this.style.display="";if(this.width>130)this.width=130;if(this.height>200)this.height=200;' border=0 lshdic='bbsyd的肖像点击放大' onmouseover='this.onload()'></a>
<br><img src='image/xunzhang/0.gif' lshdic='经验勋章:您是一位经验超过888点忠实的论坛老友,特此奖励'> <img src='image/xunzhang/2.gif' lshdic='高手勋章:您被公认为技术高手,希望您能更好的帮助这里的朋友'> <img src='image/xunzhang/3.gif' lshdic='原创作者奖:您原创的文章或作品非常好,特此奖励'> <img src='image/xunzhang/4.gif' lshdic='积极参与奖:您经常热情的参与论题的讨论,特赠此勋章表示感谢'> <img src='image/xunzhang/6.gif' lshdic='优秀版主奖:您实力雄厚,乐于助人,身为版主您做的很出色,特赠此奖'> <img src='image/xunzhang/7.gif' lshdic='鼓励勋章:您在某段时间表现尤为突出,特奖此章希望继续表现'> 
<br><a href='ismy.asp?user=bbsyd' target=top lshdic='点击查看bbsyd的详细资料' style='color:'>bbsyd</a>(<img src='image/boy.gif' lshdic='男士'></font>,离线)<br>(<font color='#6772CD'>bbsyd</font>)
<br>身份:<font color='gray'>超级版主</font>(<font color='red'><b>7</b></font>级)
<br>发贴:<font color='#6772CD'>172</font>贴
<br>积分:<font color='#6772CD'>2073</font>分
<br><font color="purple" style="font-weight:bold">LV:6 省长</font><br>
<font color=9A9340 style='background-color:white'>★</font><font color=E2AE1E style='background-color:white'>★</font><font color=888F54 style='background-color:white'>★</font><font color=6548CE style='background-color:white'>★</font><font color=5A4DE3 style='background-color:white'>★</font><font color=455D4F style='background-color:white'>★</font><font color=FDD93C style='background-color:white'>★</font><font color=1E8D74 style='background-color:white'>★</font><font color=CC8933 style='background-color:white'>★</font><font color=6CDA3 style='background-color:white'>★</font><br>

</td><td valign=top>
<div class='divs1' id=htmdiv6>
用带参数的执行语句，不要自己拼。不然会有安全隐患的，比如把密码写成'+pass

<br>&nbsp;<br>
<font color='888888'>首发时间:2004-2-24 8:34:03<br>最后更新:2004-2-24 8:34:03,蓝丽技术论坛收录:http://www.lshdic.cn/bbs</font></div>


<input type=button value='运行在浏览器查看' style='width:150;' onclick="openw(htmdiv6.innerText)" lshdic='以HTML方式在浏览器中查看内容' class='bon1'><input type=button value='快速编辑' style='width:80;' onclick="htmdiv6.contentEditable=true" lshdic='为调试正确快速修改贴子内容,须IE5.5以上版本' class='bon2'>

<p><div style='color:aaaaaa;word-Break:break-all;width:490;border:1 solid #C0E2F9;border-top-width:3;border-right-width:3;padding:5;height:150;line-height:1.2;overflow:hidden;font-family:仿宋_GB2312;font-size:13px;background-color:white;cursor:default' onselectstart='return false' onmousedown='setCapture();divy=event.y' onmousemove='if(event.button==1){if(event.y>divy){this.scrollTop+=5;divy=event.y-5}else{this.scrollTop-=5;divy=event.y+5};}' oncontextmenu='return false' onmouseup='document.releaseCapture()'>
<img src='image/user38.gif' width=60 height=60 align=left style='filter:alpha(opacity=30,style=1,finishopacity=5)'>蓝丽技术论坛成员身份证(帅哥型),人气值<font color='#C0E2F9'>652</font>点<br>
昵称:bbsyd 年龄:28&nbsp;,已婚 来自:广州深圳 <br>专业:软件设计 现职:软件程序员 <br>
登记日期:2003-11-30 更新日期:2004-1-5<br>
<br>
喜欢晒月亮的人
</div>

</td></tr><Tr><Td align=right colspan=2>
<a href='boos.asp?dex=3&areyou=修改&myclass=6899&isdex=false&page=2'>修改</a> 
<a href='javascript:if(confirm("确实要删除该贴吗?"))location="boos.asp?dex=3&areyou=删除&myclass=6899&isdex=false&page=2"'>删除</a> - <a href='duanxiaoxi.asp?emailto=bbsyd' lshdic='发敬告/警告,提醒作者' target='_blank'>短信敬告</a> <a href='ismy.asp?user=bbsyd&loveyou=true' lshdic='+版主级别*4分'>奖分</a> <a href='ismy.asp?user=bbsyd&killyou=true' lshdic='-级别*4分'>减分</a> <a href='xunzhang.asp?touser=bbsyd' target='_blank'>奖勋章</a>
</td></tr>

</script>
<tr><Td bgcolor=#BBE2F5 colspan=2 style='border-top:1 solid white;border-bottom:1 solid white;'><img src='image/yellowfile.gif' width=13 height=13> 跟贴:第<font color=red><b> 12 </b></font>楼 
回复针对<a href='javascript:pos1.filetxt.focus();pos1.filetxt.value="[table][b]To:第[color=red]12[/color]楼的[color=red]henry[/color]朋友[/b][/table]\n";void(0);'>henry</a>,回复引用<a href='javascript:pos1.filetxt.value="[table][b]以下是引用[color=red]12[/color]楼[color=red]henry[/color]朋友的论点:[/b]\n"+htmdiv7.innerText.substr(0,htmdiv7.innerText.length-87)+"[/table]\n";pos1.filetxt.focus();;void(0);'>henry</a>

</td></tr><Tr>
<Td width=130 align=center valign=top>&nbsp;<br>
<a href='image/user3.gif' target="_blank"><img src='image/user3.gif' style='margin-left:5;display:none' onload='this.style.display="";if(this.width>130)this.width=130;if(this.height>200)this.height=200;' border=0 lshdic='henry的肖像点击放大' onmouseover='this.onload()'></a>
<br><img src='image/xunzhang/0.gif' lshdic='经验勋章:您是一位经验超过888点忠实的论坛老友,特此奖励'> <img src='image/xunzhang/7.gif' lshdic='鼓励勋章:您在某段时间表现尤为突出,特奖此章希望继续表现'> 
<br><a href='ismy.asp?user=henry' target=top lshdic='点击查看henry的详细资料' style='color:'>henry</a>(<img src='image/boy.gif' lshdic='男士'></font>,离线)<br>(<font color='#6772CD'>tt</font>)
<br>身份:<font color='gray'>准会员</font>
<br>发贴:<font color='#6772CD'>105</font>贴
<br>积分:<font color='#6772CD'>1553</font>分
<br><font color="purple" style="font-weight:bold">LV:5 市长</font><br>
<font color=9A9340 style='background-color:white'>★</font><font color=E2AE1E style='background-color:white'>★</font><font color=888F54 style='background-color:white'>★</font><font color=6548CE style='background-color:white'>★</font><font color=5A4DE3 style='background-color:white'>★</font><font color=455D4F style='background-color:white'>★</font><font color=FDD93C style='background-color:white'>★</font><font color=gray>☆</font><font color=gray>☆</font><font color=gray>☆</font><br>

</td><td valign=top>
<div class='divs1' id=htmdiv7>
同意10楼

<br>&nbsp;<br>
<font color='888888'>首发时间:2004-2-24 9:49:49<br>最后更新:2004-2-24 9:49:49,蓝丽技术论坛收录:http://www.lshdic.cn/bbs</font></div>


<input type=button value='运行在浏览器查看' style='width:150;' onclick="openw(htmdiv7.innerText)" lshdic='以HTML方式在浏览器中查看内容' class='bon1'><input type=button value='快速编辑' style='width:80;' onclick="htmdiv7.contentEditable=true" lshdic='为调试正确快速修改贴子内容,须IE5.5以上版本' class='bon2'>

<p><div style='color:aaaaaa;word-Break:break-all;width:490;border:1 solid #C0E2F9;border-top-width:3;border-right-width:3;padding:5;height:150;line-height:1.2;overflow:hidden;font-family:仿宋_GB2312;font-size:13px;background-color:white;cursor:default' onselectstart='return false' onmousedown='setCapture();divy=event.y' onmousemove='if(event.button==1){if(event.y>divy){this.scrollTop+=5;divy=event.y-5}else{this.scrollTop-=5;divy=event.y+5};}' oncontextmenu='return false' onmouseup='document.releaseCapture()'>
<img src='image/user3.gif' width=60 height=60 align=left style='filter:alpha(opacity=30,style=1,finishopacity=5)'>蓝丽技术论坛成员身份证(帅哥型),人气值<font color='#C0E2F9'>444</font>点<br>
昵称:henry 年龄:24&nbsp;,未婚 来自:深圳华侨城 <br>OICQ:228865491 专业:网页后台 现职:网络程序员 <br>
登记日期:2003-10-31 更新日期:2004-9-8<br>
邮件:<font color=#C0E2F9>weisuper9822@msn.com</font> <br>
代码海洋中的小鬼一个！
</div>

</td></tr><Tr><Td align=right colspan=2>
<a href='boos.asp?dex=3&areyou=修改&myclass=6903&isdex=false&page=2'>修改</a> 
<a href='javascript:if(confirm("确实要删除该贴吗?"))location="boos.asp?dex=3&areyou=删除&myclass=6903&isdex=false&page=2"'>删除</a> - <a href='duanxiaoxi.asp?emailto=henry' lshdic='发敬告/警告,提醒作者' target='_blank'>短信敬告</a> <a href='ismy.asp?user=henry&loveyou=true' lshdic='+版主级别*4分'>奖分</a> <a href='ismy.asp?user=henry&killyou=true' lshdic='-级别*4分'>减分</a> <a href='xunzhang.asp?touser=henry' target='_blank'>奖勋章</a>
</td></tr>


<Tr><Td bgcolor=dddddd colspan=2 align=right><!--分页区-->
<A href='files.asp?dex=3&page=1&myclass=6854'>首页</a> <A href='files.asp?dex=3&page=1&myclass=6854'>上页</a> <A href='files.asp?dex=3&page=3&myclass=6854'>下页</a> <A href='files.asp?dex=3&page=3&myclass=6854'>尾页</a>  <a href='files.asp?dex=3&page=1&myclass=6854'>[1]</a> [2] <a href='files.asp?dex=3&page=3&myclass=6854'>[3]</a>
</td></tr>

<Tr>
<td bgcolor=6F81BC colspan=2><font color=eeeeee>,是否为此贴评论两句？ &nbsp; 后台执行时间:.313秒,</font><a oncontextmenu='scrollTo(0,0);return false' onmousedown='if(event.button==1)scrollTo(0,0);' lshdic='单击(左或右键)返回本页顶部' style='color:white;cursor:hand'>返回顶部</a></td></tr><Tr bgcolor=#BBE2F5>
<td>回复文章注意:<p>奖励:发贴<b><font color='red'>+1</font></b> 积分<b><font color='red'>+1</font></b><br>1:支持Url网址自动解析<br>2:支持LDML特技代码<br>3:支持运行Html代码<br>4:严禁发布恶意代码<br>5:严禁无故恶骂成员<br>6:Ctrl+回车=提交文章</td>
<td align=right><form method=post action='callnewfile.asp' name=pos1>
<textarea style='width:100%;height:150;background-color:eeeeee' name=filetxt onkeyup='if(event.keyCode==13&&event.ctrlKey==1){return startfile.click();}'></textarea><br>

<select onchange='document.all.tags("TEXTAREA")[document.all.tags("TEXTAREA").length-1].focus();if(this.selectedIndex!=0)document.selection.createRange().text="[color="+this.options[this.selectedIndex].style.backgroundColor+"]"+document.selection.createRange().text+"[/color]";this.selectedIndex=0' style='background-color:eeeeee'>
<option>文字颜色<option style='background-color:#ff0000'><option style='background-color:yellow'><option style='background-color:#0000ff'><option style='background-color:#00ff00'><option style='background-color:purple'><option style='background-color:orange'><option style='background-color:white'><option style='background-color:black'><option style='background-color:lime'><option style='background-color:gray'><option style='background-color:silver'><option style='background-color:navy'><option style='background-color:maroon'></option>
</select><select onchange='document.all.tags("TEXTAREA")[document.all.tags("TEXTAREA").length-1].focus();if(this.selectedIndex!=0)document.selection.createRange().text="[bgcolor="+this.options[this.selectedIndex].style.backgroundColor+"]"+document.selection.createRange().text+"[/bgcolor]";this.selectedIndex=0' style='background-color:eeeeee'>
<option>文字背景<option style='background-color:#ff0000'><option style='background-color:yellow'><option style='background-color:#0000ff'><option style='background-color:#00ff00'><option style='background-color:purple'><option style='background-color:orange'><option style='background-color:white'><option style='background-color:black'><option style='background-color:lime'><option style='background-color:gray'><option style='background-color:silver'><option style='background-color:navy'><option style='background-color:maroon'></option>
</select><select onchange='document.all.tags("TEXTAREA")[document.all.tags("TEXTAREA").length-1].focus();if(this.selectedIndex>0&&this.selectedIndex<this.options.length-6){document.selection.createRange().text="["+this.options[this.selectedIndex].value+"]"+document.selection.createRange().text+"[/"+this.options[this.selectedIndex].value+"]";}else if(this.selectedIndex<this.options.length-3){document.selection.createRange().text="[format="+this.options[this.selectedIndex].value+"]"+document.selection.createRange().text+"[/format]";}else{document.selection.createRange().text="[size="+this.options[this.selectedIndex].value+"]"+document.selection.createRange().text+"[/size]";}this.selectedIndex=0' style='background-color:eeeeee'>
<option>文字样式<option value=table style='color:green'>表格包围<option value=code style='color:green'>代码片段<option value=b>粗体字<option value=i>斜体字
<option value=u>下划线<option value=s>删除线<option value=sup>文字靠上<option value=sub>文字靠下<option value=big>文字偏大<option value=small>文字偏小<option value=marquee>文字滚动<option value=center>居中对齐<option value=right>靠右对齐<option value="lowercase">字母小写<option value="capitalize">首字大写<option value="uppercase">字母大写<option value="30">一般大字<option value="60">特大号字<option value="99">超大号字
</select><select onchange='document.all.tags("TEXTAREA")[document.all.tags("TEXTAREA").length-1].focus();if(this.selectedIndex==1){document.selection.createRange().text="[hr]"}else if(this.selectedIndex==2){popimg=prompt("请输入要插入的图片地址(网址URL),如www.lshdic.com/1.gif\n注意:URL不可包含http://","");if(popimg!=null&&popimg.toLowerCase().indexOf("http://")==-1&&popimg.length>10&&popimg.indexOf(".")!=-1)document.selection.createRange().text="img://"+popimg;else alert("以取消插入图片,原因可能您点击了取消或您的URL中包含 http:// 这个禁止字符\n\n或您的图像网址不完整.")}else if(this.selectedIndex==3){open("biaoqing.htm","newwin","width=310,height=325")}else if(this.selectedIndex==4){document.selection.createRange().text=new Date().toLocaleString()}else{document.selection.createRange().text=this.options[this.selectedIndex].value+"://填写"+this.options[this.selectedIndex].text+"路径,注意路径不要包含http://";}this.selectedIndex=0' style='background-color:eeeeee'><option>插入物件
<option>水平线<option>插入图片<option style='color:green'>表情贴图<option>当前时间
<option value=flash>Flash动画<option value=embed1>音乐播放器<option value=embed2>视频播放器
</select><input type=submit name='startfile' value='提交文章' style='background-color:dddddd;border-width:1' onclick="gook();if(canok==0)return false">
<input type=hidden value='0' name='alltop'> <!--记录是否为总置顶贴子-->
<input type=hidden value='3' name='nextdex'> <!--记录是何栏目编号-->
<input type=hidden value='6854' name='nextclass'> <!--记录是何编号-->
</td></tr></table>
<Script language=vbs>
canok=0
sub gook
msgbox "你未注册或未登陆论坛，不能回复文章",16:exit sub

canok=1
end sub
</script>
</BODY>
</HTML>