因為我的網站用后臺系統來控制的，所以我猜他是進入了后臺。
我在站上的一個子目錄中放了一個后臺的演示程序，而ASP頁面驗證是否為合法的用戶是用判斷一個存有密碼的SESSION是否為空來實現的，所以只要先進子目錄進入演示用的后臺，再輸入網站后臺的文件名就可能進入，于是我把演示的程序全刪了，但我發現他仍在搞破壞！！

我早聽說過用特殊的代碼做密碼,但我沒試過，也沒在意，更沒有去想過要這樣進別人的后臺，我想他是不是用的這樣的方法呢？所以連夜改程序，我想他一定會再來，就放了個檢測IP的程序，和檢查他輸入的內容的程序，結果發現他竟是在密碼中輸入了一個 'or''=' 進的我的網站，我自己也試了一個，果然進得，
于是馬上開工，讓每一個頁面驗請密碼都要與庫中的密碼比較，終于，他沒能進來了！！！又完善了記錄日志，記下了“攻擊”類型，時間，IP，輸入的字符，管理員進入的時間，IP等。在我的記錄日志上，留下了那位朋友的豐功偉績，他用 ' 用 'or'= 用 'or ·····，試圖進我的站，前后搞了近一個小時。

但總調庫又太慢，所以我又把庫中的密碼存到了一個文件名很古怪，擴展名為ASP的文件中，文件內容為：<% mimaint=***** %>插入到ASP頁中，這樣好象要快一點。我又仔細研究他們輸入的特殊語句，竟然有想用SQL語句刪除我的記錄的，雖然這個語句并沒能得逞，但我還是怕那位高手搞成功了，所以干脆又加了一個語句，發現凡是有單引號的，統統認為是非法密碼。我還想看是不是總是同一個人，于是給每一個輸錯過密碼的，或知道我后臺文件名試圖直接進入的瀏覽器都存了個cookies,編上號。。哈哈。。后來我自己看了都覺有趣，好啦，我就能做到這些啦，我知道，對一個真正的高手，這只是以紙包火，但致少可以使我的程序稍安全一些。如果有人攻擊了服務器，搞到我的源代碼，那肯定一切都是空話，（····呵呵。。。我才不怕呢，我正好找萬網算帳。。。。還我幾千大洋來！！！）

還望高手指教，同時感謝那幾位“黑客”我在他們的幫助下學到不少東西,但大家千萬不要去改我的站啊。。。進入了后臺請給我發個EMAIL如何？阿余先謝啦

最后，還要做個宣傳，請大家多多訪問我的站，這是一個以介紹電腦技術為主的網站，這個網站最重要的是會為大家提供一套我自認為還可以的網站后臺，(這個程序最大的好處是上網抄文章特快，手腳快一點的話，一小時搞一兩百篇不成問題)數據庫有ACCESS和SQL SERVER兩種，另外還有我從學習ASP以來寫的一些小東東，如論壇，留言，調查，超市等，阿余在 http://www.zydn.net 歡迎大家
我再對這個系統的做一些說明：

數據庫：有SQL和ACCESS兩種版本（其實就是連接庫的一個語句不一樣啦），演示用的是ACCESS，因為我沒有能用SQL的空間。
最大欄目級數:11級。
最小欄目級數：1級
每級新聞最多：不限
用戶分級最多：9級
用戶分級最少：1級
每欄目子欄目數最多：不限（不能有重名同級）
每欄目最少子欄目數：無
演示在www.Zydn.net/
請朋友們多多批評指教