今天安静兄告诉我HACKBLOG被暴库了，（他说是THEONE发现，在这谢谢他）
暴库地址是http://www.hackblog.com/user_help.asp?file=conn.ASP 我倒~~~~
打开user_help.asp，看一下相关代码吧。

不仔细看，也没什么。
仔细一看，函数adodb_loadfile()没有对asp进行过滤。
导致adodb_loadfile("conn.asp")这样也可以。
最终导致?file=conn.ASP 这样了。
查看一下暴库页面的源代码，conn.asp文件看的一清二楚，数据库阿，数据库~~~~~~

问题找到了，补一下吧，其实很简单，对函数adodb_loadfile()处理一下是最完美的。
不过了，小弟我（永不放弃）有何简单的方法。
将
if fname="" then
改成
if fname="" or right(fname,3)<>"htm" then
就OK啦。
道理很简单，只有htm文件才能被函数adodb_loadfile()调用。
OVER

永不放弃 2005年1月15日22:09:24

=================================================

还有help.asp这个文件。
同理

永不放弃 2005年1月15日22:30:22

=================================================

估计程序还有其他文件里还有调用函数adodb_loadfile()的，
干脆修改adodb_loadfile()这个函数吧。
打开inc/function.asp
找到：
Function ADODB_LoadFile(ByVal File)
...
End Function
修改为：
Function ADODB_LoadFile(ByVal File)
If File="htm" then
...
End If
End Function
这样的道理，就不用我这个小弟解释了吧。
这样一改，就算还有文件调用adodb_loadfile()函数的话，都没有问题了。
user_help.asp和help.asp都用改了。
推荐这种方法