再问：登陆密码错误，显示源码内容，如何处理？

楼上说得对,另外提醒一下,你的程序存在SQL注入风险!

加入防sql注入功能，防止get,post,cookie三种方式

学习了一下，呵呵。。

什么是SQL注入攻击——所谓的SQL注入攻击就是利用SQL语句通过网页（通常是80端口）向web服务器发送特定的请求以期获得服务器上的某些敏感信息或者是执行某些越权操作的一种攻击方式。

SQL注入漏洞存在的条件——存在SQL注入漏洞的网页通常应该满足两个条件：动态页面（静态的HTML网页是不存在这个风险的）和数据库调用。因此可能存在SQL注入漏洞的网站也应该满足两个条件，一是使用动态的网页脚本语言开发，二是后台有支持SQL语句的数据库存在。目前比较常规的搭配有ASP+Access、ASP+SQLServer、PHP+Mysql、JSP+Oracle等。

什么样的网站可能存在风险？
1、使用了网上开放源代码的程序搭建的动态网站。这种网站存在SQL注入的风险最大，因为公开的源码非常容易被人发现注入点从而进行攻击。
2、委托其他人开发的动态网站代码，而开发人目前已经不再对网站的代码进行更新。这类网站也存在很大注入风险。
3、管理员自己开发的网页代码，并且自己维护。这类站点的风险较小，但是依然存在有被SQL注入攻击的可能。

防火墙能否防范SQL注入攻击？
不能，因此这类攻击都是通过合法的通道提交的，防火墙是无法判断这类攻击是真实的访问请求还是恶意攻击的。  

我的网站到现在也没有被攻击过是否就表明我的网站不存在SQL注入漏洞？
由于SQL注入这种攻击方式存在很大的随机因素（需要攻击者不断与服务器进行交互判断），它并不适合被编写成自动的攻击脚本程序。因此你的网站还没有被攻击并不表示不存在这个漏洞，很多时候仅仅是因为入侵者还没有意愿要攻击您的网站。

如何检查我的网站是否存在SQL注入漏洞？
前面说了我们很难编写出一个通用的全自动SQL注入攻击程序，那么我们也没有一个全自动的扫描该漏洞的程序。大多数时候还是需要我们的网站管理员去手动检查相应的网页代码来判断漏洞是否存在。