/admin/check.asp 检测后台登陆的地方 复制代码代码如下: <!–#Include File=\”../conn.asp\”–> <!–#Include File=\”../inc/checkstr.asp\”–> <% If Trim(Request.Cookies(\”YB_Cookies\”)) = \”\” Then response.Redirect \”login.asp\” response.End() else dim Rs,SQL SQL = \”SELECT * FROM [YB_Admin] where [Admin_Username] = \’\”&checkstr(Request.Cookies(\”YB_Cookies\”)(\”Admin_Username\”))&\”\’ and [Admin_Password] = \’\”&checkstr(Request.Cookies(\”YB_Cookies\”)(\”Admin_Password\”))&\”\’\” Set Rs = YB_Conn.Execute(SQL) if Rs.eof then response.Redirect \”login.asp\” end if end if %> 这里对cookies提交没做过滤 直接 利用cookies提交工具提交账户密码为\’or\’1\’=\’1 即可绕过后台登陆直接进入管理界面。