自己写一个页面,对输入的数据不做任何验证,就有注入漏洞了
比如写一个新闻详细页
<%
dim id,rs,sql
set rs=server.creatobject("adodb.recordset")
id=request.querystring("id")
sql="select * from news where id="&id
rs.open sql,conn,1,1
%>
这个页面就有明显的注入漏洞了,在地址栏输入127.0.0.1/newsview.asp?id=1 and 1=1看看什么情况