UC知道reg.asp 跳过验证注册问题 是什么漏洞?
来源:百度知道 编辑:UC知道 时间:2024/06/08 08:43:59
后台可以看到 无用户名和其他任何资料的注册,哪位老师知道,请问解决办法!
非常感谢热心解答,是我说的不够清楚。
我的注册页代码主要部分是这样的:
rs.open "select username,useremail from [user] where username='"&trim(request("username"))&"' or useremail='"&trim(request("useremail"))&"'",conn,1,1
if not (rs.eof and rs.bof) then
...写不下了
在后台会员管理就有莫名奇妙的用户,没有用户名只有注册日期的一条纪录密码:8f00b204e9800998。 不知道是什么漏洞。数据库里面有这个纪录。
你说的后台页是保存纪录时吗?我是新手请多指教!QQ:506223215
非常感谢热心解答,是我说的不够清楚。
我的注册页代码主要部分是这样的:
rs.open "select username,useremail from [user] where username='"&trim(request("username"))&"' or useremail='"&trim(request("useremail"))&"'",conn,1,1
if not (rs.eof and rs.bof) then
...写不下了
在后台会员管理就有莫名奇妙的用户,没有用户名只有注册日期的一条纪录密码:8f00b204e9800998。 不知道是什么漏洞。数据库里面有这个纪录。
你说的后台页是保存纪录时吗?我是新手请多指教!QQ:506223215
有点不太清楚,你要说清楚一点嘛
验证不能全在前台页用JS做,既要前台,又要后台验证才行
一般你在后台页进行验证就不会出这个问题咯!
补充:
如果只在前台用JS验证的话,试想如果行内人将你的网页来个“另存为”然后将你的JS去掉,只要字段和ACTION后面那个网址一致,他就可以不用你的表单网页而用他另存后的网页向你的后台数据库发送数据!
在后台页(action后的那个网页)放入以下代码就可以防止这个问题:
dim servername1,servername2
servername1=Cstr(Request.ServerVariables("HTTP_REFERER"))
servername2=Cstr(Request.ServerVariables("SERVER_NAME"))
if mid(servername1,8,len(servername2))<>servername2 then
response.write"<script language=Javascript>alert('非法的提交动作!');"
response.write"javascript:history.go(-1)</script>"
response.end
end if
'这是防止行内人在站点外交接数据到你的后台数据库。同时你的数据库名和路径不要让外人知道了!