如何清除asp代码解除判断是否直接输入地址访问本系统的后台管理页面的限制

下面是一段代码他限制了你直接输入后台地址登入!要怎么改才能解除限制!我传到空间之后一直都是提示对不起,为了系统安全,不允许从外部链接地址访问本系统的后台管理页面。请问怎样... 下面是一段代码他限制了你直接输入后台地址登入!
要怎么改才能解除限制!
我传到空间之后 一直都是提示 对不起,为了系统安全,不允许从外部链接地址访问本系统的后台管理页面。

请问怎样解除这个限制 最好是直接把修改之后的完整代码贴出 谢谢

'本例根据远程主机地址来进行判断,如果为本地
'地址则进入欢迎页面,否则显示出错信息.
Dim ipaddress1
if ipaddress<>"" then
ipaddress1 = request.servervariables("REMOTE_ADDR")
if ipaddress1<>ipaddress then
'否则显示出错信息.
response.write "<br><p align=center><font color='red'>对不起,你的IP地址不能访问该网站。</font></p>"
response.end

end if
end if
%>

<%
'判断是否登陆和来源
Dim ComeUrl,cUrl,AdminName

ComeUrl=lcase(trim(request.ServerVariables("HTTP_REFERER")))
if ComeUrl="" then
response.write "<br><p align=center><font color='red'>对不起,为了系统安全,不允许直接输入地址访问本系统的后台管理页面。</font></p>"
response.end
else
cUrl=trim("http://" & Request.ServerVariables("SERVER_NAME"))
if mid(ComeUrl,len(cUrl)+1,1)=":" then
cUrl=cUrl & ":" & Request.ServerVariables("SERVER_PORT")
end if
cUrl=lcase(cUrl & request.ServerVariables("SCRIPT_NAME"))
if lcase(left(ComeUrl,instrrev(ComeUrl,"/")))<>lcase(left(cUrl,instrrev(cUrl,"/"))) then
response.write "<br><p align=center><font color='red'>对不起,为了系统安全,不允许从外部链接地址访问本系统的后台管理页面。</font></p>"
response.end
end if
end if

Dim admin,sql,rs
admin=replace(session("admin"),"'","")
if admin="" then
call CloseConn()
response.redirect "adminlogin.asp"
response.End()
end if
sql="select admin from Admin where admin='" & session("admin") & "' and password='" & session("111111") & "'"
set rs=conn.execute(sql)
if rs.eof and rs.bof then
rs.close
response.Redirect("adminlogin.asp")
response.End()
end if
%>
展开
 我来答
百度网友66a8d48e5
2010-06-24 · TA获得超过7687个赞
知道大有可为答主
回答量:3002
采纳率:12%
帮助的人:3896万
展开全部
其实这是一种常规的限制,是为了网站安全方面出发的.

这段程序写的本身是不错的,但由于缺少模块化编的考虑,所以在维护与修改时候不利的.这个缺点在一楼修改代码时已经很直观地出现了!他只注释掉了相应的工作的语句,但事实上完全没有必须再进行任何的判断的.也就是说一楼只保证的代码的运行而已,如果这个功能写成一个相就应的函数模块,则不会进行那么多的if then的判断了!这些都是做的无用的功.

为了网站的安全,我们希望管理员是从自身的网站登陆(密码验证页面)进入.更不希望有些不怀好意的人进行页面的恶意构造.所以在登陆的页面不允许你直接输入地址进行利用get方式进行恶意构造,也不允许你使用相应的其他的登陆页面进行的构造,所以才有这么一个判断进行控制的.

如果你真的不在乎这个安全性,那么最好的办法就是将这段代码进行全部的删除.从判断是否登陆与来源开如删除,直接删除到dim admin,sql,rs前就是删除这一个判断的模块,不必进行任何的运算的.一楼进行注释事实上在严格的语法环境中是不能运行的.不信你可以使用
if XXXX then
end if
试一下能运行不?也就是说if then 与end if中间没有任何语句时在严格语法下是不能通过的!

如果你要在乎安全性,那些就要找出你代码出错的真实原因.

我的猜测是,你可能使用的是二级域名或是使用了urlrewiter技术,这样造成了 if lcase(left(ComeUrl,instrrev(ComeUrl,"/")))<>lcase(left(cUrl,instrrev(cUrl,"/"))) then判断为真值引起的.其实这种情况已经不太适全使用这种方式了.但至少可以防止整个域名以外的地址进行登陆的假冒的!至于怎么改,一般可以找到其泛化后的域名就可以了!

比如www.baidu.com与hi.baidu.com肯定是不同而不允许登陆的.但事实上我们只需要检查域名就可躲过主机的检查的.也就是说重新构造对比条件就可以了!如:
dim comUrl,currUrl
comUrl = "www.baidu.com"
currUrl ="hi.baidu.com"

hostname = comUrl.spilt(".")(0).length
'找出主机名的长度
comUrl = substring(comUrl,hostname+1)
'由于字符是从0开始编号的,从主机长度加1开始取,取到结尾,正也可以取出域名.
currUrl同样处理后两者进行比较,即可躲过主机的检查而使你的代码生效.当然,如果是二级域名或是url重写技术,必须要看的你的具体空间而定,才能定出相应的代码来的.这里只是一个思路!
百度网友0f37e23c0
2010-06-24 · TA获得超过1543个赞
知道大有可为答主
回答量:1070
采纳率:50%
帮助的人:1296万
展开全部
我来回答:
我已经把代码注释掉了,直接复制使用

'本例根据远程主机地址来进行判断,如果为本地
'地址则进入欢迎页面,否则显示出错信息.
Dim ipaddress1
if ipaddress<>"" then
ipaddress1 = request.servervariables("REMOTE_ADDR")
if ipaddress1<>ipaddress then
'否则显示出错信息.
'response.write "<br><p align=center><font color='red'>对不起,你的IP地址不能访问该网站。</font></p>"
'response.end

end if
end if
%>

<%
'判断是否登陆和来源
Dim ComeUrl,cUrl,AdminName

ComeUrl=lcase(trim(request.ServerVariables("HTTP_REFERER")))
if ComeUrl="" then
'response.write "<br><p align=center><font color='red'>对不起,为了系统安全,不允许直接输入地址访问本系统的后台管理页面。</font></p>"
'response.end
else
cUrl=trim("http://" & Request.ServerVariables("SERVER_NAME"))
if mid(ComeUrl,len(cUrl)+1,1)=":" then
cUrl=cUrl & ":" & Request.ServerVariables("SERVER_PORT")
end if
cUrl=lcase(cUrl & request.ServerVariables("SCRIPT_NAME"))
if lcase(left(ComeUrl,instrrev(ComeUrl,"/")))<>lcase(left(cUrl,instrrev(cUrl,"/"))) then
'response.write "<br><p align=center><font color='red'>对不起,为了系统安全,不允许从外部链接地址访问本系统的后台管理页面。</font></p>"
'response.end
end if
end if

Dim admin,sql,rs
admin=replace(session("admin"),"'","")
if admin="" then
call CloseConn()
response.redirect "adminlogin.asp"
response.End()
end if
sql="select admin from Admin where admin='" & session("admin") & "' and password='" & session("111111") & "'"
set rs=conn.execute(sql)
if rs.eof and rs.bof then
rs.close
response.Redirect("adminlogin.asp")
response.End()
end if
%>
本回答被提问者采纳
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

辅 助

模 式