/* written by Jaron(贾俊) ,2003-11-04 */
/* 原出处：B/S WEB技术中文网 http://{域名已经过期} ;*/
/* 欢迎访问我的网站： http://{域名已经过期}  http://{域名已经过期}*/
/* 如对本文有疑问，请在网站留言 /*
/* 转载请注明出处和保留此版权信息 */
/* 欢迎使用SiteManager网站管理系统 http://{域名已经过期} http://{域名已经过期} ; */

    前些时候，公安机关破获了一家网络公司的程序被盗的案件，分析了一下，主要问题还是出在URL漏洞上。
    测试程序是否存在URL漏洞，最简单的方法就是在Request.QueryString上加一个'，如 show.asp?id=1 ，改成 show.asp?id=1' ，打开IE高级选项中的“显示友好HTTP错误信息”，看看是不是显示了“字符串 '' 之前有未闭合的引号”？ 
    如果数据库是SQLSERVER，试试在查询分析器里执行以下指令：exec master.dbo.xp_cmdshell  dir c:\
    黑客便可利用exec master.dbo.xp_cmdshell 干任何事情了，那么利用这个指令，便很轻松的在您的系统内建立用户 exec master.dbo.xp_cmdshell  'net user cc cc /add' ; exec master.dbo.xp_cmdshell 'net localhost administrators cc /add'，以后的事情就不得而知了。
   注： 非法侵入他人计算机系统，可能会被处以三年以下有期徒刑。