关于asp+access的安全问题分析(4)

  如果用户名administrator存在的话那么这个记录是可以被选出来的，之 
  后当然就是可以正常登录了。 

  解决方案： 

  sql="select uname,pwd from uinfo where " 
  sql=sql&"uname='"&request.form("uname")&"'" 
  rs.open sql,conn,1,1 
  if rs.eof or rs.bof then 
  response.write "对不起，本站没有此用户！" 
  else 
  if rs.fields("pwd")=trim(request.form("pwd")) then 
  response.write "登录成功！" 
  else 
  response.write "错误的用户名/密码！" 
  end if 
  end if