admin_conn.asp

Art2008 CMS是一款具有强大的功能的基于ASP语言的网站管理软件

<%
dim Art2008,NowString
dim heike_sss,heike_fy,heike_array,heike_fy_nnnn,heike_ip,say_word_heike
dim artmdb,mdb,conn,ConnStr,DataServer,DataUser,DataBaseName,DataBasePsw
dim sip_rs,sip_userip,sip_zuziip,sip_zzip,sip_i,sip_er

heike_sss=LCase(request.servervariables("QUERY_STRING"))

'fy_string= "'|;|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|drop|#x" 
'fy_string= "'and|'or|exec|insert|select|delete|drop"  
heike_fy= "'and|'and |' and| ' and |'or|' or|' or | ' or|(| select| delete| drop| exec"     
'太多字符也不行，会导致一些程序不正常运行,如果想加强SQL注入，可试加多一些符号。
heike_array=split(heike_fy,"|")
   for heike_fy_nnnn=0 to ubound(heike_array)
        if instr(heike_sss,heike_array(heike_fy_nnnn))<>0  then
		    heike_ip=Request.ServerVariables("REMOTE_ADDR")
		    say_word_heike=heike_ip&"，你想干什么？黑我，不要想啦！请删除SQL注入符号。"
		    response.write "<script>alert('"&say_word_heike&"');history.go(-1);</Script>"
            response.end
		end if 
next
'=============================================================== 以上代码请不要自行修改========================================

Art2008  =  "Art2008"               '系统缓存名称.在一个URL下安装多个Art2008 CMS请设置不同名称

Const DataBaseType=0                   '系统数据库类型，"0"为MS ACCESS 2000数据库


If DataBaseType=0 then '======================如果是ACCESS数据库，请认真修改好下面的数据库的文件名============================='
    
  artmdb=mdb&"data/#artdb.asp"      '变量名artmdb请不要更改. 
                                    '如果不能正确连接数据库，首先核对这句的数据库文件的目录和文件名称是否和你的正确。
                                    '建议这个数据库名称要改复杂一点,目录也可以更改一下. 文件类型不能用.mdb, 最好用.asp, 以防止数据库被下载.
	NowString = "Now()"               'Access时间格式

End if

'=============================================================== 以下代码请不要自行修改========================================
Call OpenConn
Sub OpenConn()
       ConnStr = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.MapPath(artmdb)
    Set conn = Server.CreateObject("ADODB.Connection")
    conn.open ConnStr
    If Err Then Err.Clear:Set conn = Nothing:Response.Write "数据库连接出错，请检查admin_conn.asp文件中的数据库参数设置。":Response.End
End Sub

sip_userip = Request.ServerVariables("HTTP_X_FORWARDED_FOR")
If sip_userip = "" Then sip_userip = Request.ServerVariables("REMOTE_ADDR")

set sip_rs = Server.CreateObject("ADODB.RecordSet")
sip_rs.Open "select zuziip from [config] where zuziip like '%"&sip_zuziip&"%'",conn,1,1
if sip_rs.recordcount<>0 then
	sip_zuziip=sip_rs("zuziip")&chr(13)
	sip_zuziip=replace(sip_zuziip," ","")
	sip_zuziip=replace(sip_zuziip,chr(10),"")
	sip_zzip=split(sip_zuziip,chr(13))
	for sip_i=0 to ubound(sip_zzip) 
		if sip_userip=trim(sip_zzip(sip_i)) then
			sip_er=1
		end if
	next

	if sip_er=1 then
		Response.Write "<script>alert('对不起,您的IP已被锁定.如有疑问,请联系我们!("&sip_userip&")');window.close();</Script>"
		conn.close:set conn=nothing
		Response.end
	end if
end if
sip_rs.close 
set sip_rs=nothing

Sub CloseConn()
	On Error Resume Next
	Conn.close:Set Conn=nothing
End sub

%>