许多网站中由于数据库过滤不严而造成的漏洞，该漏洞存在于许多网页程序中。由于网页程序没对用户提交的数据进行严格的限制，致使用户可以在提交数据中插入一些特殊的ASP语句。当这些语句被作为数据插入到数据库中后，而网站数据库文件又是 ASP 格式时，就造成了“数据库过滤不严”漏洞的存在。如果提交的数据是一些可执行的ASP语句，当这些语句插入数据库中后，由于数据库文件是ASP格式的，因此这些语句在数据库同样也是可以执行的。当提交的ASP语句是特殊的木马后门语句时，数据库文件就变成了一个ASP后门了，导致黑客可以通过数据库入侵控制整个服务器！

由于许多网站程序对于一些用户在表单或通过隐式提交的数据安全性上不是很重视，从而导致网页程序中往往都会存在一些数据过滤不严格的地方，用户可以将任意的语句提交保存在数据库文件中。因此数据库过滤不严是普遍存在的一个漏洞，利用该漏洞是很容易入侵控制许多网站系统的。

1，一句话木马客户端与服务器端

一句话木马服务端，就是攻击者用来插入到数据库文件的ASP语句，该语句将会作为触发，接收入侵者通过客户端提交的数据，执行并完成相应的入侵操作。服务端的代码内容为：

<%execute request("1") %>

一句话木马客户端是用来向服务端提交控制数据的，提交的数据通过服务端构成完事的ASP功能语句并执行。木马客户端的代码如下：

[cc lang="asp"]