[这个贴子最后由飛鳥在 2004/12/06 09:47pm 第 1 次编辑]
http://www.zzz.com/bb/view.asp?id=5
当出现这样二级目录并且调用数据库的URL时,我想大家都会把bb后的"/"用"%5c"代替来暴出数据库的绝对路径。怎么暴和暴的原理不说了,网上太多了,我关心的是如何补这漏洞。
找了N多资料发现,数据库连接文件(一般为conn.asp)加入“On Error Resume Next”这样一个容错语句就可以了。
比如:<%@ Language=VBScript %>
<%
On Error Resume Next
dim conn
dim connstr
dim db
db="data\dfff.asp" '改成你的数据库地址
Set conn = Server.CreateObject("ADODB.Connection")
connstr="Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.MapPath(""&db&"")
'如果你的服务器采用较老版本Access驱动,请用下面连接方法
'connstr="driver={Microsoft Access Driver (*.mdb)};dbq=" & Server.MapPath(db)
conn.Open connstr
showdiary="5" '每页显示日记数
adminname="admin" '改成你的超级管理员名称
adminpassword="tttt9" '改成你的密码
bgcolor="#ffffff"
%> |
