我做了一個(gè)網(wǎng)站 www.zydn.net ，算是個(gè)人主頁吧，雖不是以個(gè)人名義，但確實(shí)只有我一個(gè)人做這個(gè)事，我的站有一套后臺(tái)系統(tǒng)，用ASP寫成的，主機(jī)用的萬網(wǎng)的，但昨天我一上網(wǎng)，發(fā)現(xiàn)我的調(diào)查被改了，我還以為是我自己輸入錯(cuò)了。趕忙改回來，不過過一會(huì)兒看又被改啦，還改得更厲害：調(diào)查是，問我寫的一個(gè)軟件是否有用，我準(zhǔn)備的答案是：
很有用，有所幫助，完全沒有用，
他給我改成了：很沒用，有什么幫助？完全沒用。
還有，我有一個(gè)字幕，說我的軟件好，我自己當(dāng)然說自己好啦，他竟給我搞成了
這是一堆雜草，不過網(wǎng)上需要有一些雜草的，還有一些人身攻擊的話?。?！
還改了我的一些欄目名，我氣慘了。

因?yàn)槲业木W(wǎng)站用后臺(tái)系統(tǒng)來控制的，所以我猜他是進(jìn)入了后臺(tái)。
我在站上的一個(gè)子目錄中放了一個(gè)后臺(tái)的演示程序，而ASP頁面驗(yàn)證是否為合法的用戶是用判斷一個(gè)存有密碼的SESSION是否為空來實(shí)現(xiàn)的，所以只要先進(jìn)子目錄進(jìn)入演示用的后臺(tái)，再輸入網(wǎng)站后臺(tái)的文件名就可能進(jìn)入，于是我把演示的程序全刪了，但我發(fā)現(xiàn)他仍在搞破壞??！

我早聽說過用特殊的代碼做密碼,但我沒試過，也沒在意，更沒有去想過要這樣進(jìn)別人的后臺(tái)，我想他是不是用的這樣的方法呢？所以連夜改程序，我想他一定會(huì)再來，就放了個(gè)檢測(cè)IP的程序，和檢查他輸入的內(nèi)容的程序，結(jié)果發(fā)現(xiàn)他竟是在密碼中輸入了一個(gè) 'or''=' 進(jìn)的我的網(wǎng)站，我自己也試了一個(gè)，果然進(jìn)得，
于是馬上開工，讓每一個(gè)頁面驗(yàn)請(qǐng)密碼都要與庫中的密碼比較，終于，他沒能進(jìn)來了?。?！又完善了記錄日志，記下了“攻擊”類型，時(shí)間，IP，輸入的字符，管理員進(jìn)入的時(shí)間，IP等。在我的記錄日志上，留下了那位朋友的豐功偉績(jī)，他用 ' 用 'or'= 用 'or ·····，試圖進(jìn)我的站，前后搞了近一個(gè)小時(shí)。

但總調(diào)庫又太慢，所以我又把庫中的密碼存到了一個(gè)文件名很古怪，擴(kuò)展名為ASP的文件中，文件內(nèi)容為：<% mimaint=***** %>插入到ASP頁中，這樣好象要快一點(diǎn)。我又仔細(xì)研究他們輸入的特殊語句，竟然有想用SQL語句刪除我的記錄的，雖然這個(gè)語句并沒能得逞，但我還是怕那位高手搞成功了，所以干脆又加了一個(gè)語句，發(fā)現(xiàn)凡是有單引號(hào)的，統(tǒng)統(tǒng)認(rèn)為是非法密碼。我還想看是不是總是同一個(gè)人，于是給每一個(gè)輸錯(cuò)過密碼的，或知道我后臺(tái)文件名試圖直接進(jìn)入的瀏覽器都存了個(gè)cookies,編上號(hào)。。哈哈。。后來我自己看了都覺有趣，好啦，我就能做到這些啦，我知道，對(duì)一個(gè)真正的高手，這只是以紙包火，但致少可以使我的程序稍安全一些。如果有人攻擊了服務(wù)器，搞到我的源代碼，那肯定一切都是空話，（····呵呵。。。我才不怕呢，我正好找萬網(wǎng)算帳。。。。還我?guī)浊Т笱髞恚。。。?

還望高手指教，同時(shí)感謝那幾位“黑客”我在他們的幫助下學(xué)到不少東西,但大家千萬不要去改我的站啊。。。進(jìn)入了后臺(tái)請(qǐng)給我發(fā)個(gè)EMAIL如何？阿余先謝啦

最后，還要做個(gè)宣傳，請(qǐng)大家多多訪問我的站，這是一個(gè)以介紹電腦技術(shù)為主的網(wǎng)站，這個(gè)網(wǎng)站最重要的是會(huì)為大家提供一套我自認(rèn)為還可以的網(wǎng)站后臺(tái)，(這個(gè)程序最大的好處是上網(wǎng)抄文章特快，手腳快一點(diǎn)的話，一小時(shí)搞一兩百篇不成問題)數(shù)據(jù)庫有ACCESS和SQL SERVER兩種，另外還有我從學(xué)習(xí)ASP以來寫的一些小東東，如論壇，留言，調(diào)查，超市等，阿余在 http://www.zydn.net 歡迎大家
我再對(duì)這個(gè)系統(tǒng)的做一些說明：

數(shù)據(jù)庫：有SQL和ACCESS兩種版本（其實(shí)就是連接庫的一個(gè)語句不一樣啦），演示用的是ACCESS，因?yàn)槲覜]有能用SQL的空間。
最大欄目級(jí)數(shù):11級(jí)。
最小欄目級(jí)數(shù)：1級(jí)
每級(jí)新聞最多：不限
用戶分級(jí)最多：9級(jí)
用戶分級(jí)最少：1級(jí)
每欄目子欄目數(shù)最多：不限（不能有重名同級(jí)）
每欄目最少子欄目數(shù)：無
演示在www.Zydn.net/
請(qǐng)朋友們多多批評(píng)指教