ASP只是一种技术，只是一种运行环境，并不是后台管理系统都是asp的，也可以是PHP或JSP或CGI或ASPX或其它的技术的，只不过ASP是目前比较流行的技术罢了。 你说的那个'or'='or' 的漏洞，只不过是程序书写时的逻辑漏洞了，并不是ASP本身的漏洞，这种漏洞叫“Injection注入漏洞”，它的原理是这样的：当用户输入用户名和密码时，提交一个精心构造的用户名“a or username<>'a”，密码是：“a or pwd<>'a”，而程序的判断语句是：select * from user_table where username=用户名 and pwd=密码 但是，把上面的用户名和密码带起去后就变成：select * from user_table where username=a or username<>a and pwd=a or pwd<>a，就变成上面的SQL语句了，在这种情况下，就出现了逻辑漏洞了，程序会认为用户名和密码都正确，就会把用户名赋给正确的session，这样就进入后台了，解决办法是用replace()函数过滤掉“'”,再次就是用户名和密码的输入框里限制输入的字符数，其实，如果对方不知道用户名和密码在数据库里的字段的话，是无法破解成功的。