分析该代码存在什么漏洞对该代码中的漏洞如何利用？

请问该代码存在什么漏洞、存在该漏洞的原理，对该代码中的漏洞如何利用？
SOS!

```c
 



<% 

'网站管理员登录检测

admin=Replace(trim(request.Form("admin")), "'", "''") 

password=md5(Request("password"))

if admin=""  then 

response.Write("") 

response.end

end if 

if  password="" then 

response.Write("") 

response.end

end if 

sql="select * from admin_user where admin='"&admin&"' and password='"&password&"'" 

set rs=conn.execute(sql) 

if rs.eof or rs.bof then 

response.Write("")

else 

session("admin")=rs("id") 

session.Timeout=60

sql="update admin_user set login_num=login_num+1 where id="&session("admin") 

conn.execute(sql) 

dim ip

ip=request.servervariables("remote_addr")

set xy=server.createobject("adodb.recordset") 

xy.open "select * from admin_user_count",conn,1,3 

xy.addnew 

xy("login_ip")=ip

xy("login_name")=rs("admin")

xy.update 

xy.close 

set xy=nothing 

response.redirect "xycms.asp" 

end if 

%>   

```

通过你的代码问题 ，貌似发现csdn的漏洞了 你刷新下就可以发现csdn 会执行你的代码js脚本内容。

你代码明显的漏洞就是sql拼接问题 ，如果前端也没做任何安全措施，想搞你且有能力的人发现了 ，可能稍微伪造下请求信息 就可以获取你的数据库操作权限