应该先判断记录是否存在然后再进行其他操作
<%dim idid=request("id")
Set rsnews=Server.CreateObject("ADODB.RecordSet")
sql="select * from news where id="&id
rsnews.Open sql,conn,1,1
if rsnews.eof and rsnews.bof then
response.Write("数据库出错")
else
title=rsnews("title")
sql="update news set hits=hits+1 where id="&id
conn.execute sql
%> 既然说漏洞,并不是程序问题
id=request("id")
Set rsnews=Server.CreateObject("ADODB.RecordSet")
sql="update news set hits=hits+1 where id="&id
conn.execute sql
sql="select * from news where id="&id
这里有问题,有注入点 用这个
http://boc518.bibidu.com/fileview-266281.html 如果没错好像是雷池? 原帖由 jessica 于 2008-3-18 13:15 发表 http://www.souho.net/images/common/back.gif
用这个
http://boc518.bibidu.com/fileview-266281.html
可以绕过去的哦 高手很多..一律加分...谢谢大家对搜虎的支持
页:
[1]