分析该代码存在什么漏洞，对该代码中的漏洞如何利用？

分析该代码存在什么漏洞，对该代码中的漏洞如何利用？

 某asp网站中有如下代码：

 



<% 

'网站管理员登录检测

admin=Replace(trim(request.Form("admin")), "'", "''") 

password=md5(Request("password"))

if admin=""  then 

response.Write("") 

response.end

end if 

if  password="" then 

response.Write("") 

response.end

end if 

sql="select * from admin_user where admin='"&admin&"' and password='"&password&"'" 

set rs=conn.execute(sql) 

if rs.eof or rs.bof then 

response.Write("")

else 

session("admin")=rs("id") 

session.Timeout=60

sql="update admin_user set login_num=login_num+1 where id="&session("admin") 

conn.execute(sql) 

dim ip

ip=request.servervariables("remote_addr")

set xy=server.createobject("adodb.recordset") 

xy.open "select * from admin_user_count",conn,1,3 

xy.addnew 

xy("login_ip")=ip

xy("login_name")=rs("admin")

xy.update 

xy.close 

set xy=nothing 

response.redirect "xycms.asp" 

end if 

%>