[转载]OBLOG函数adodb_loadfile()暴库分析
文章作者:永不放弃今天安静兄告诉我*LOG被暴库了,(他说是THEONE发现,在这谢谢他)
暴库地址是_help.asp?file=conn.ASP">[url]http://www.[/url]***.com/user_help.asp?file=conn.ASP 我倒~~~~
打开user_help.asp,看一下相关代码吧。
不仔细看,也没什么。
仔细一看,函数adodb_loadfile()没有对asp进行过滤。
导致adodb_loadfile("conn.asp")这样也可以。
最终导致?file=conn.ASP 这样了。
查看一下暴库页面的源代码,conn.asp文件看的一清二楚,数据库阿,数据库~~~~~~
问题找到了,补一下吧,其实很简单,对函数adodb_loadfile()处理一下是最完美的。
不过了,小弟我(永不放弃)有个简单的方法。
将
if fname="" then
改成
if fname="" or right(fname,3)<>"htm" then
就OK啦。
道理很简单,只有htm文件才能被函数adodb_loadfile()调用。
OVER
=================================================
还有help.asp这个文件。
同理
估计程序还有其他文件里还有调用函数adodb_loadfile()的,
干脆修改adodb_loadfile()这个函数吧。
打开inc/function.asp
找到:
Function ADODB_LoadFile(ByVal File)
...
End Function
修改为:
Function ADODB_LoadFile(ByVal File)
If File="htm" then
...
End If
End Function
这样的道理,就不用我这个小弟解释了吧。
这样一改,就算还有文件调用adodb_loadfile()函数的话,都没有问题了。
user_help.asp和help.asp都用改了。
推荐这种方法
页:
[1]