/admin/check.asp 
检测后台登陆的地方 

复制代码代码如下:
 
 
<% 
If Trim(Request.Cookies("YB_Cookies")) = "" Then 
response.Redirect "login.asp" 
response.End() 
else 
dim Rs,SQL 
SQL = "SELECT * FROM [YB_Admin] where [Admin_Username] = '"&checkstr(Request.Cookies("YB_Cookies")("Admin_Username"))&"' and [Admin_Password] = '"&checkstr(Request.Cookies("YB_Cookies")("Admin_Password"))&"'" 
Set Rs = YB_Conn.Execute(SQL) 
if Rs.eof then 
response.Redirect "login.asp" 
end if 
end if 
%> 

这里对cookies提交没做过滤 直接 利用cookies提交工具提交账户密码为'or'1'='1 即可绕过后台登陆直接进入管理界面。