UC知道asp代码求助,用户登陆后可以修改不同ID的信息
来源:百度知道 编辑:UC知道 时间:2024/06/05 23:00:20
我有一套asp人才程序,上面有个很大的漏洞,请高人指点.
就是当个人注册后可以修改不同ID的信息,
比如我注册一个新用户ID是365,修改个人信息的页面就是personinfo_modi.asp?action=1&rid=365
可当我把后面的365换成300或其他ID时就可以随便修改别人的信息,
如何解决?我是菜鸟,请高手帮忙,定重谢!
<%
'检查帐号、密码
if session("user_class")<>"pmember" then
response.redirect "login.asp?link="&link&""
response.end
end if
pmember_login=session("user_name")
Set rs= Server.CreateObject("ADODB.RecordSet")
sql="select pmember_pwd from job_p_pmember where pmember_login='"&pmember_login&"'"
rs.open sql,conn,1,1
if rs.eof then
rs.close
set rs=nothing
response.redirect "login.asp?link="&link&""
response.End
else
if session("user_pass")<>rs("pmember_pwd") then
rs.close
set rs=nothing
response.redirect "login.as
就是当个人注册后可以修改不同ID的信息,
比如我注册一个新用户ID是365,修改个人信息的页面就是personinfo_modi.asp?action=1&rid=365
可当我把后面的365换成300或其他ID时就可以随便修改别人的信息,
如何解决?我是菜鸟,请高手帮忙,定重谢!
<%
'检查帐号、密码
if session("user_class")<>"pmember" then
response.redirect "login.asp?link="&link&""
response.end
end if
pmember_login=session("user_name")
Set rs= Server.CreateObject("ADODB.RecordSet")
sql="select pmember_pwd from job_p_pmember where pmember_login='"&pmember_login&"'"
rs.open sql,conn,1,1
if rs.eof then
rs.close
set rs=nothing
response.redirect "login.asp?link="&link&""
response.End
else
if session("user_pass")<>rs("pmember_pwd") then
rs.close
set rs=nothing
response.redirect "login.as
登陆的时候找到 用户的ID
用SESSION("RID") 表示
修改个人信息的界面为 personinfo_modi.asp?action=1
修改语句是
UPDATE 表 SET () WHERE 用户ID='SESSION("RID")'
就可以了