'or''='漏洞的另类解决方法

数码时尚

董轶广

　　2003年第27期《电脑报》D11版的《'or''='漏洞不容忽视》一文对如何防范'or''='漏洞做了很好的说明。根据文中所述，笔者对自己的网站进行测试，也发现了'or''='漏洞，并按文章所述方法做了修改。

　　但原文需要改动语句，这对编程经验少的站长可能比较困难。经过试验，大家还可以通过如下方法修补该漏洞：

　　应用以下方法的前题是使用Access数据库，并拥有用户权限。

　　首先打开你的Access用户库，如：guestbook.mbd。新建一条记录，将第一条记录复制到最后一条，再将该记录中原Username和Password字段全部设置为空，并将权限字段内容删除。

　　通过上述修改，通过'or''='漏洞登录进来，数据库会从第一条开始查找，首先找到匹配的是第一条记录，因为没有权限，即使进入管理页面也无法进行破坏了。

　　以上过程经Windows2000+SP3+Access2000验证通过。