爲什麼使用Login.asp？

Question

我已經看到，大多數loginpages.asp的90％被黑客使用密碼：1'or'1'='1

但似乎他們還沒有改變它，並使用相同的驗證方法。我已經在我的項目中檢查了同樣的方法，其登錄頁面爲.jsp，並且它作爲不正確的憑據返回，我的只是一個簡單的方法，但發佈網站是高標準的權利？與我的身份驗證相比，他們的身份驗證很差。

人們告訴1'or'1'='1是一個簡單的SQL命令。我不知道它是如何工作的，因爲我沒有在任何asp頁面上工作。請解釋密碼是如何工作的。由於

Answer 1

這就是所謂的Sql Injection。

基本上，如果基於字符串連接的代碼產品的SQL查詢，最終的查詢可能包含一個總是正確的條件，並允許攻擊者登錄不知道實際的密碼。

使用ASP.Net，如果你寫了一些ADO Sql查詢，always use SqlParameter object。所有的轉義都將由ADO.Net處理。