堵住ASP漏洞

无论你相不相信，通过 asp，可能可以很方便地入侵 web server、窃取服务器上的文件、捕获 web 数据库等系统的用户口令，甚至恶意删除服务器上的的文件，直至造成系统损坏，这些都决非耸人听闻，而且都确确实实发生过，本文将向你一一揭示这些 asp 存在的漏洞，并提出一些防范意见。

　 　上一篇中给大家着重谈了“ADO 存取数据库时如何分页显示”的问题，有位朋友来信给我指出我在计算页面总数时忽略了 Recordset 对象的一个重要参数“PageCount”，它能在给 Pagesize 赋值后自动得出页面的总数，而无须用“INT(RS.recordcount/PgSz*-1)*-1”这样繁琐的公式。我要感谢这位朋友热心地给我指出 程序中的不足，由于这个程序是我在很久以前写的，因为在分页显示的时候记录的总数不一定能整除页面显示记录的数目，而当时我又不能肯定 PageCount 是否能正确得出页面的数目，所以偷懒写了这个公式：），说实话我到现在还都没试过用 pagecount，有兴趣的朋友千万要试一下哦，可别学我的懒惰呀。

　　最近我在 chinaasp 的 bbs 上讨论问题时发现很多朋友对于 asp 的一些安全性问题不甚了解，甚至不知道如何解决最常见的 asp::$DATA 显示源代码的问题，因此我觉得非常有必要在这里给广大朋友们重点谈一谈这个问题，在征得 chinaasp 飞鸟的同意下，我将他曾经写过的一点关于 asp 漏洞的介绍加上我自己的一些实践经验拿出来给大家详细分析一下这个对于 webmaster 来说至关重要的 asp 的安全性问题。

　 　当去年 ::$DATA 的漏洞被发现并公布的第二天，我曾经检测了当时国内大部分运用 asp 的站点，其中百分之九十九都存在以上可以看见源代码的问题，当日我甚至在微软的站点上抓下了 search.asp 这个文