ASP只是一種技術,只是一種運作環境,並不是後台管理系統都是asp的,也可以是PHP或JSP或CGI或ASPX或其它的技術的,只不過ASP是目前比較流行的技術罷了。
你說的那個'or'='or' 的漏洞,只不過是程式書寫時的邏輯漏洞了,並不是ASP本身的漏洞,這種漏洞叫Injection注入漏洞,它的原理是這樣的:當使用者輸入使用者名稱和密碼時,提交一個精心建構的使用者名稱a or username<>'a,密碼是:a or pwd<>'a,而程式的判斷語句是:select * from user_table where username=使用者名稱and pwd=密碼但是,把上面的使用者名稱和密碼帶起去後就變成:select * from user_table where username=a or username<>a and pwd=a or pwd<>a,就變成上面的SQL語句了,在這種情況下,就出現了邏輯漏洞了,程式會認為使用者名稱和密碼都正確,就會把使用者名稱賦給正確的session,這樣就進入後台了,解決辦法是用replace()函數過濾掉',再次就是用戶名和密碼的輸入框裡限制輸入的字符數,其實,如果對方不知道用戶名和密碼在數據庫裡的字段的話,是無法破解成功的。