源代码在这里：http://www.tiantiansoft.com/bbs/dispbbs.asp?boardID=71&ID=61434

一、数据库可以下载
１、利用“#”截断地址来防止数据库被下载。
　　就没想到“%23”==“#”？这和“%20”==“ ”一样啊。
　　用这个就可以下载了：http://……/datas/my%23data.mdb

２、如果转成用mydata.asa方式，一样糟糕，直接用flashget下载就成

解决：在IIS属性里，对“.mdb”添加应用程序映射，没管是什么文件名，反正就是没能下载

二、manage/index.asp中，登录后台时，用了这样的查询语句：
set rs=conn.execute("select * from maths where na='" &na& "' and pa='" &pa& "'")
登录时：用户名和密码，都输入这个：' or ''='
上面的语句就相当于：select * from maths where na='' or ''='' and pa='' or ''=''
有可能会没有记录吗？maths表中，有几条记录，rs记录集中，就有几条记录，全都出来了。

解决：改这种方式：
set rs=conn.execute("select * from maths where na='" &na& "'")
   if not (rs.eof or rs.bof) then
      if rs("pa")=pa then
         '登录成功
      end if
   end if
   response.write("<script language='JavaScript'>alert('用户名或密码错误');history.go(-1);</script>")
   response.end

肯定还有问题的，这个网站，一个一个慢慢翻，等我。