- 博客(47)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 使用 PHP 构建的 Web 应用如何避免 XSS 攻击
<br />使用 PHP 构建的 Web 应用如何避免 XSS 攻击<br />Web 2.0 的发展为网络用户的互动提供了更多机会。用户通过在论坛发表评论,或是在博客发表留言都可能有意或无意输入一些破坏性的内容,从而造成网页不能正常显示,影响其它用户的使用。XSS 全称为 Cross Site Scripting,因为 CSS 已经用作样式表的简称,故称为 XSS。 XSS 是一种常见的网站攻击的方法。其原理是通过在网页的输入框输入一些恶意的内容,通常是 JavaScript 脚本片段,而这些恶意输入在提
2010-11-23 12:30:00
870
转载 XSS攻击防范
XSS攻击防范2009年4月22日阅读评论发表评论<br />最近一个朋友找我帮忙修复一个XSS注入漏洞,其实网站也是某上市互联网公司的中国站。现在XSS和CSRF攻击成为一个WEB软件工作者不得不重视的一个问题,很有必要深入研究下。<br />XSS漏洞很容易在大型网站中发现,在黑客圈内它非常流行。最著名的是2005年黑客Sammy Kamkar在myspace网站发布蠕虫病毒后,XSS就开始大行其道。FBI.gov、CNN.com、Time.com、Ebay、 Yahoo、Apple、Microsoft
2010-11-23 12:29:00
751
转载 PHP的XSS攻击过滤函数
<br />XSS攻击在最近很是流行,往往在某段代码里一不小心就会被人放上XSS攻击的代码,看到国外有人写上了函数,咱也偷偷懒,悄悄的贴上来。。。<br />原文如下:<br />The goal of this function is to be a generic function that can be used to parse almost any input and render it XSS safe. For more information on actual XSS attacks, c
2010-11-23 12:27:00
849
转载 php empty()和isset()的区别
php empty()和isset()的区别<br /> 在使用 php 编写页面程序时,我经常使用变量处理函数判断 php 页面尾部参数的某个变量值是否为空,开始的时候我习惯了使用 empty() 函数,却发现了一些问题,因此改用 isset() 函数,问题不再。<br />顾名思义,empty() 判断一个变量是否为“空”,isset() 判断一个变量是否已经设置。正是这种所谓的“顾名思义”,令我开始时走了些弯路:当一个变量值等于0时,empty()也会成立(True),因而会发生一些意外。原来,em
2010-11-23 12:26:00
533
转载 PHP htmlspecialchars() 函数
PHP htmlspecialchars() 函数<br />PHP String 函数定义和用法<br />htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。<br />预定义的字符是:& (和号) 成为 & " (双引号) 成为 " ' (单引号) 成为 ' < (小于) 成为 < > (大于) 成为 > 语法htmlspecialchars(string,quotestyle,character-set)参数描述string必需
2010-11-23 12:26:00
580
转载 PHP header() 函数
定义和用法<br />header() 函数向客户端发送原始的 HTTP 报头。<br />认识到一点很重要,即必须在任何实际的输出被发送之前调用 header() 函数(在 PHP 4 以及更高的版本中,您可以使用输出缓存来解决此问题):<html><?php// 结果出错// 在调用 header() 之前已存在输出header('Location: http://www.example.com/');?>语法header(string,replace,http_response_code)
2010-11-23 12:25:00
481
转载 php——include语句
机制不同 Require语句在进行文件包含时,不管这条require语句是否被运行,都会将被包含代码中的文件包含进来。 Include语句在进行文件包含时,如果这条include语句没有被运行,则不会将被包含代码中的文件包含进来。 <br /><br />如以下代码:<br /><?php<br />$a = 1;<br />if($a ==2) //如果等于2,则调用<br />require(“include.inc”);<br />?><br />这个例子中条件没有满足,所以调用语句没有执行,但是in
2010-11-23 12:24:00
630
转载 Php ini_set ini_get可操作配置参数列表
<br />为了使自己的程序在不同的平台中拥有更好的兼容性,很多时候我们都要获取当前Php的运行环境参数。比如我们常用到的:获取 magic_quotes_gpc状态,来决定当表单提交时我们是否转义(addslashes)数据;设定max_execution_time来延长 程序的执行时间;设定error_reporting使自己的项目在开发与运营阶段切换;设定memory_limit加大内存等等…<br />ini_set(string varname, string newvalue ) : 设定环境配
2010-11-23 12:23:00
497
原创 asp.net 在网上找系统、权威的学习资源还是只能去www.asp.net MSDN上的啊!
asp.net 在网上找系统、权威的学习资源还是只能去www.asp.net MSDN上的啊!asp.net 1.1 asp.net 2.0???书上说1.1和2.0差别不大,这本书肯定不怎么着,从1.1一下子跳到2.0,我想还是应该有明显的进步吧。增加对645位平台的支持
2006-10-16 22:58:00
900
转载 通过webshell获得admin全攻略- -
通过webshell获得admin全攻略- - 话说到花了九牛二虎的力气获得了一个webshell,当然还想继续获得整个服务器的admin权限,正如不想得到admin的不是好黑客~嘻嘻~~好跟我来,看看有什么可以利用的来提升权限*****************************************
2006-08-20 15:12:00
1969
转载 黑客入侵服务器提升权限总结
以文本方式查看主题- 电白社区 (http://www.525400.net/index.asp)-- 网络与安全 (http://www.525400.net/list.asp?boardid=76)---- 目前黑客入侵服务器提升权限总结 (http://www.525400.net/dispbbs.asp?boa
2006-08-20 14:39:00
1567
转载 黑客入侵服务器提升权限总结
以文本方式查看主题- 电白社区 (http://www.525400.net/index.asp)-- 网络与安全 (http://www.525400.net/list.asp?boardid=76)---- 目前黑客入侵服务器提升权限总结 (http://www.525400.net/dispbbs.asp?boa
2006-08-20 14:39:00
1937
3
原创 一句话木马”入侵
实例一:“一句话木马”入侵“EASYNEWS新闻管理系统” “EASYNEWS新闻管理系统 v1.01 正式版”是在企业网站中非常常见的一套整站模版,在该网站系统的留言本组件中就存在着数据过滤不严漏洞,如果网站是默认路径和默认文件名安装的话,入侵者可以利用该漏洞直接上传ASP木马程序控制整个网站服务器。 Step1 搜索入侵目标 使用了“EASYNEWS新闻管理系统 v1
2006-08-18 21:56:00
1602
转载 alexa作弊(转贴)
在一定程度上说,我是一个靠alexa生存的人,我靠alexa赚了一点钱,我想大部分人都不清楚我到底能靠做alexa能赚多少钱,嘿嘿,我也不会说的,但应该比大家想的好点 ^-^。 好了,直接说正题啊 关于alexa本身,我不想再说什么,如果对alexa没点了解的人,也没有必要看我这篇文章 ^-^ 所以我直接说alexa作弊(说的好听点,叫alexa优化): alexa排名是通过两个参数计算得出来的:
2006-08-10 23:32:00
874
转载 常见的几种ADSL 路由器的端口映射方法
==大亚科技 DB-108路由器的端口映射方法大亚108全攻略(路由设置方法,端口映射方法)一、路由设置方法:1.先硬件连接,现在的交换机没有UPLINK口了确认正确与否:看设备的PC指示灯是否亮起!亮起就OK!2.网络的配置,注意一定要有适配器和TCP/IP都正确安装协议才行!在IP地址标签下将你的IP设定在(192.168.1.2----192.168.1.254)之间,因为要和你的设备
2006-08-08 18:23:00
3635
原创 新建一个基于对话框的工程,引用头文件 ,导入 vfw32.lib 库,库文件可以在vc存在路径中找到;
新建一个基于对话框的工程,引用头文件 ,导入 vfw32.lib 库,库文件可以在vc存在路径中找到; 如:D:/Program Files/Microsoft Visual Studio/VC98/Lib/vfw32.lib 在窗体上添加四个个按钮,修改ID为IDC_VIDEO , IDC_CAPTURE , IDC_STOPVIDEO , IDC_STOPCAPTURE; 为按钮IDC_VID
2006-07-30 06:23:00
2340
转载 视频捕获软件开发完全教学
视频捕获软件开发完全教学- -Tag: VFW 视频捕获 一. 视频捕获快速入门 2二.基本的捕获设置 31.设置捕获速度: 32.设置终止捕获 43.捕获的时间限制 4三.关于捕获窗口 41.创建一个AVICAP捕获窗口 52.将一个捕获窗口连接至捕获设备 53.
2006-07-30 06:06:00
1496
转载 CDONTS EMail组件
在ASP中发送Email时往往需要一个COM组件支持,如果你没有第三方的Email组件,你可以使用IIS本身提供CDONTS EMail组件。这个组件使用时需要安装和启动SMTP服务。这个组件的名称为CDONTS.DLL,使用前需要使用RegSvr32注册这个组件。 CDONTS组件提供了一系列对象,包括AddressEntry、Attachment、Attachments、Folder、
2006-07-22 10:35:00
808
转载 无法连接到服务器,用户xx登陆失败",
无法连接到服务器,用户xx登陆失败",这也是SQL Server使用者在连接SQL Server时最常碰到的问题之一。下面我们就来详细分析引起此问题的原因以及解决办法。一、有以下两种可能性:1.如果客户端使用集成验证,则客户端使用的Windows帐户不具有登录SQL Server的权限2.如果客户端使用SQL Server验证,则登录名或者密码错误二、解决办法:1.对于第一种情况,可使用具有登录权
2006-07-18 12:07:00
674
原创 类和对象
蛙蛙推荐:面向对象编程基础入门(vb.net版)几乎在 Visual Basic 中执行的所有操作都与对象关联。如果您第一次接触面向对象的编程,则下列术语和概念将帮助您入门。类和对象单词“类”和“对象”在面向对象的编程中使用得非常多,很容易将它们混淆。一般来说,“类”是一些内容的抽象表示形式,而“对象”是类所表示的内容的可用示例。共享类成员是此规则的一个例外,这种成员可在类的实例和声
2006-07-15 11:12:00
493
转载 [转贴]真情告白:我是怎样从程序员到月进万金的[转贴]
本人与大家一样,原来只是一个普通的程序员,靠给软件公司打工谋生。后来感觉这样长期干下去没有什么前途,虽然现在年轻还可以加班加点靠拼身体吃饭,以后年纪大了怎么办?听说很多人自己单干每年靠共享软件都可以赚几十万,我为什么就不行?仗着自己技术好,并且当时已经有了成熟软件的思路,我就辞职出来加入共享软件这一行当了。通过半年多的日夜苦干,软件终于编出来了。由于我觉得自己的软件功能比较新颖,编程的技术也很好,
2006-07-14 14:03:00
565
原创 ASP常用函数
function htmlencode2(str)dim resultdim lif isNULL(str) thenhtmlencode2=""exit functionend ifl=len(str)result=""dim ifor i = 1 to lselect case mid(str,i,1)case "result=result+"<"case ">"result=res
2006-07-05 09:54:00
822
原创 远程连接access数据库的几个方法:
远程连接access数据库的几个方法:1.建立VPN(Virtual Private Network),这样你的电脑和主机的连接就与局域网无异,然后把服务器中mdb文件所在的Folder共享即可。ADO连接如下:oConn.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=//ServerName/DatabaseFolder/Database.
2006-07-03 17:22:00
681
原创 Win2003下IIS6服务器设置排错解答
许多人在用IIS建设网站的过程中或多或少都会出现问题,在IIS6中有些是以前版本中就曾经出现过,IIS6中也有些是新发现的问题,本文在此对建站上所出现的问题做了个简单总结,希望能对大家有所帮助。 问题1:未启用父路径 症状举例: Server.MapPath() 错误 ASP 0175 : 80004005 不允许的 Path 字符 /0709/dqyllhsub
2006-06-28 16:53:00
483
原创 常用客户端验证代码
function IsDigit(){ return ((event.keyCode >= 48) && (event.keyCode }function checkuserinfo(){ if(checkspace(document.shjiainfo.shjianame.value)) { document.shjiainfo.shjianame.focus(); alert("对
2006-06-26 15:09:00
467
原创 《Visual C# 2005从入门到精通》图书目录:
《Visual C# 2005从入门到精通》图书目录:第Ⅰ部分 Microsoft Visual C#和Microsoft Visual Studio 2005概述第1章 欢迎进入C#编程世界 31.1 开始在Visual Studio 2005 环境中编程 31.2 写第一个程序 61.3 使用命名空间 101.4 创建Windows窗体应用程序 12第1章快速参考 18第2章 使用变量、操
2006-06-13 14:31:00
751
原创 UCML-领先的B/S应用快速开发工具,基于组件重用和应用框架重用,支持.NET体系,直接生成C#源码;
UCML-领先的B/S应用快速开发工具,基于组件重用和应用框架重用,支持.NET体系,直接生成C#源码;UCML涵盖了一个WEB应用系统业务开发的全过程,包括数据访问层(O/R映射)定义、业务框架开发、数据权限定义 (智能数据权限管理)、工作流设计及引擎、中国式WEB报表设计、业务规则设计及引擎、企业门户网站框架、网站组件模板、数据整合工具UCML-ETL、屏幕及菜单定义等。 合作开发定制服务-
2006-06-13 14:09:00
1551
原创 c#学习笔记(1)
c#支持两种类型:value types ---值类型,包括简单类型、枚举类型、结构类型reference types--引用类型,包括类类型、接口类型、委托类型、数组类型。值类型的 变量 直接包括他们的数据,一个变量的操作不可能影响另一个变量。预定义类型(Predefined type):引用类型:object string 值类型:整数类型(带符号的:sbyte sh
2006-06-10 16:59:00
938
转载 每一个软件开发人员绝对必须掌握的关于Unicode和字符集的最基础的知识
ASCII 码------------------------------------------------------------------------------------ 7 位(00~7F)。 32 ~ 127 表示字符。32 是空格, 32 以下是控制字符(不可见)。第8位没有被使用。全世界很多人同时对这个位的含义发展了不同的用处。比如 IBM PC 中的 OEM 字符集。最后就
2006-06-08 21:34:00
739
原创 IIS漏洞入侵
硬功夫栏目《黑客营》网站:http://cpcw.com《黑客营》论坛:http://cpcw.com/bbs感谢中国网管联盟提供支持(www.BitsCN.com)为了满足广大读者的要求,本报《硬功夫》栏目再次与大家见面了。本次我们为你准备了八期的黑客系列选题,旨在带领大家完成对一些主流技术提升,我们会详细地介绍新近阶段最火热的黑客事件,并对它的攻击技术进行分析解说。为了便于读者研究和学习,我们
2006-06-08 21:30:00
1675
原创 CSS层叠样式表
层叠样式表现在开始样式表! 仅仅改变一个文件就可以改变数百个网页的外观......个性化的表现而不损失访问者......所有这些都因为网页样式表的强大和灵活特性。 CSS 速成 层叠样式表的基础入门。 CSS 结构和规则 各种选择符、伪类、伪元素和层叠顺序的入门。 CSS 属性 各种层叠样式表级别一有效的属性的描述。 将样式表加入到HTML中 各种将样式表加入到HTML文本中的方法。 依赖
2006-06-07 09:53:00
553
转载 HTML和XHTML常见问答
HTML和XHTML常见问答编者: Steven Pemberton (http://www.cwi.nl/~steven/), W3C/CWI版本日期: 2004年7月21日其他相关FAQ: XHTML与HTML国际化编写技巧 1.0 (http://www.w3.org/International/geo/html-tech/outline/html-authoring-ou
2006-06-02 11:19:00
725
转载 第1天:选择什么样的doctype
第1天:选择什么样的doctype作者:阿捷 2004-6-24 20:54:32前言大家好!这个系列文章是按阿捷自己制作这个站点的过程编写的。之前阿捷也一直没有制作过一个真正符合web标准的网站。现在边参考国外资料边制作,同时把过程中的心得和经验记录下来,希望对大家有点帮助。好了,让我们开始吧第一天开始制作符合标准的站点,第一件事情就是声明符合自己需要的doctype。查
2006-06-02 11:08:00
753
原创 网页中的多媒体播放控制
1.声音及影像播放的控制之一1. rm文件在线播放 www.xiakedao.com/biyun/ren/a.rm type=audio/x-pn-realaudio-plugin width=50 autostart="false" controls="PlayButton"> autostart="false" 打开页面时处于候命状态,autostart="true" 打开页面时马
2006-05-30 11:39:00
2120
转载 网页中插入视频播放代码全集
1.avi格式代码片断如下: 2.mpg格式代码片断如下:3.smi格式代码片断如下:4.rm格式代码片断如下:5.wmv格式代码片断如下:/nsmp2inf.cab#Version=6,4,5,715" standby="Loading Microsoft Windows Media Player components..." type="
2006-05-30 11:30:00
560
原创 图片上传的3种方法
图片上传的总结:单张上传:1.上传图片到文件夹,用表单得到上传后的地址路径存入数据库,用日期序列生成图片名。2.直接上传图片到数据库,存为二进制数据流,显示时用adodb.stream输出即可。缺点是浏览速度变慢,数据库体积增大。批量上传4张图片:方法类似,待续!防止图片上传漏洞,检验扩展名是否含asp文件,防止欺骗式上传,具体待续! 新闻后台图片
2006-05-26 11:37:00
1628
1
转载 [转载]从ASP过渡到ASP.net遗留的二十大积习
在技术更新的进程中, 仍然有一些人死抱着已经过了气的东西不放. 也有一些人虽然进入到新的世界, 但仍摆脱不了陈旧的习惯. 我没有用”陋习”这个词, 因为我对这个词也非常反感. 新技术应该有新技术的做法, 进入ASP.NET的世界, 就应该把以往的习惯改正, 全新的进入新的世界. 以下列举的都是错误的做法, 请不要误以为是推荐的做法而进行推广: 1. 使用server side incl
2006-05-25 00:07:00
546
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人