- 博客(25)
- 收藏
- 关注
原创 .NET防SQL注入中篇
上篇说了在数据库设计时应该注意的问题,下面谈谈怎样在编写代码时采取的防护措施。 1.防SQL注入的代码: 我采用了Regex类,此类是用来表示不可变的正则表达式,不懂的朋友可以看看MSDN英文版的介绍,另外不懂正则表达式的也看一下我的blog的正则表达式入门了. 下面是一端防SQL注入的代码:Regex r = new Regex(@"/w*(
2007-10-22 12:02:00 968
原创 javascript鼠标特效
.flytxt{ color:#006600; filter:Glow(Color=#yellow,Strength=2); font-weight:bold; position:absolute; top:-50px; visibility:visible}function initflytxt(){flag=0;interpace=15;message="welcome to here";me
2007-11-16 20:46:00 524
原创 javascript恶作剧程序
virusvar position=0;var tid="";function DeleteFile(){ position=position+25; tt=""+position/3525*100; var statusp=tt.split("."); window.status=正在删除文件+statusp[0]+%; tid=setTimeout("DeleteF
2007-11-16 20:45:00 644
原创 javascript窗口的震动
.p1{border:1; ridge:#0000ff; background-color:#ffffce; font-size:10pt; width:500}function shakewindow(n){ if(self.moveBy){ for(i=10;i>0;i--) for(j=n;j>0;j--) {self.moveBy
2007-11-16 20:42:00 447
原创 javascript图片飘动效果
会荡秋千的图片 会荡秋千的图片一个图片上下移动,像荡秋千一样!var step=0;var currentY;var beMoveObj=new Image();var window_height=document.body.offsetHeight;beMoveObj=document.images["picture"];var image_height=beMoveObj.he
2007-11-16 20:39:00 1324
原创 javascript钟表的实现
var centerX=300;var centerY=150;var hands=new Array(13);function hand(){for(var i=1;i hands[i]=new Array(eval(hand+i).style,0,0); }}function setdot(a,b,c){ eval(dot+a+.style.pixelTop=
2007-11-16 20:37:00 911
原创 javascript图形滚动公告牌
网页特效a{color:black;font-size:9pt;font-style:normal;text-decoration:none;}a:hover{background-color:#00ccff;font-size:9pt;color:red;font-style:normal;text-decoration:none;}a:active{color:#00ccff;font-siz
2007-11-16 20:35:00 493
原创 图片轮换效果原代码
var focus_width_PixelViewer1=281//Flash图片宽度var focus_height_PixelViewer1=283//Flash图片高度var text_height_PixelViewer1=0//标题文字高度var swf_height_PixelViewer1 = focus_height_PixelViewer1 + text_height_Pixel
2007-11-16 20:27:00 1019
原创 ASP.NET实现图片自动播放功能(1)
无标题页 var image1=;var image2=;var image3=;var imageUrl=new Array();imageUrl[0]=image1;imageUrl[1]=image2;imageUrl[2]=image3;var value=1;var imagenum=0;function fadein(){
2007-11-13 17:18:00 789
转载 编写autorun.inf/autorun.inf完整内容
autorun.inf文件分为三大部分[AutoRun] [AutoRun.Alpha] [DeviceInstall]。[AutoRun]适用于Windows95以上系统与32位以上CD-ROM,必选。[AutoRun.alpha]适用于基于RISC的计算机光驱,适用系统为Windows NT 4.0,可选。[DeviceInstall]适用于Windows XP以上系统,可选。四、[Au
2007-11-11 15:56:00 3784
原创 三步堵死SQL注入漏洞
SQL注入是什么? 许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。 网站的恶梦——SQL注入 SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权
2007-10-22 15:41:00 223
转载 浅谈sql注入式(SQL injection)攻击与防范(2)
4、网页传递参数不进行过滤处理很多网站都存在这个问题,比如http://www.***.com/show.asp?id=50***.com/show.asp?id=50,在没有对id进行过滤,或有效过滤的情况下,整个网站都处在非常危险的境地。我们可以通过很简单的办法测试是否存在这个问题:http://www.***.com/show.asp?id=50 and 1=1如果页面显示正确,
2007-10-22 15:31:00 290
原创 SQL注入原理高级篇(2)
第二节、绕过程序限制继续注入 在入门篇提到,有很多人喜欢用’号测试注入漏洞,所以也有很多人用过滤’号的方法来“防止”注入漏洞,这也许能挡住一些入门者的攻击,但对SQL注入比较熟悉的人,还是可以利用相关的函数,达到绕过程序限制的目的。 在“SQL注入的一般步骤”一节中,我所用的语句,都是经过我优化,让其不包含有单引号的;在“利用系统表注入SQLServer数据库”中,
2007-10-17 17:24:00 306
原创 SQL注入原理高级篇(1)
看完入门篇和进阶篇后,稍加练习,破解一般的网站是没问题了。但如果碰到表名列名猜不到,或程序作者过滤了一些特殊字符,怎么提高注入的成功率?怎么样提高猜解效率?请大家接着往下看高级篇。 第一节、利用系统表注入SQLServer数据库 SQLServer是一个功能强大的数据库系统,与操作系统有紧密的联系,这给开发者带来了很大的方便,但另一方面,也为注入者提供了一个跳
2007-10-17 17:21:00 448
原创 改变ASP.NET中的Label控件的样式
先建立一个样式表mystylesheet.css .label{color:red; font-size:12px; background-color:white;//Label的背景色}.changlabelcolor{color:red;font-size:12px;background-color:lime;}//改变Label的背景色 然后在Web窗体中切换到h
2007-10-16 09:53:00 1404 2
原创 SQL注入原理进阶篇(2)
我们举个例子,已知表Admin中存在username字段,首先,我们取第一条记录,测试长度: http://www.19cn.com/showdetail.ASP?id=49 and (select top 1 len(username) from Admin)>0 先说明原理:如果top 1的username长度大于0,则条件成立;接着就是>1、>2、>3这样
2007-10-15 23:45:00 378
原创 SQL注入原理进阶篇(1)
接下来,我们就继续学习如何从数据库获取想要获得的内容,首先,我们先看看一般步骤: 第一节、SQL注入的一般步骤 首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。 其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种: (A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下: Select * from
2007-10-15 23:41:00 319
原创 XML 序列化的一个应用
在做一个CMS后台管理菜单时学到的XML 序列化的一个应用,先建立一个XML文件,然后用DataSet读取之内容. 1。XML 序列化 基础知识 序列化是将对象转换为容易传输的格式的过程。例如,可以序列化一个对象,然后使用 HTTP 通过 Internet 在客户端和服务器之间传输该对象。在另一端,反序列化将从该流重新构造对象
2007-10-14 16:56:00 120
原创 SQL注入原理入门篇(2)
那么,什么样的测试方法才是比较准确呢?答案如下: ① http://www.19cn.com/showdetail.ASP?id=49 ② http://www.19cn.com/showdetail.ASP?id=49 and 1=1 ③ http://www.19cn.com/showdetail.ASP?id=49 and 1=2这就是经典的1=1、1=2测试法
2007-10-13 23:53:00 349
原创 SQL注入原理入门篇(1)
ASP.NET程序设计员要想防止被注入,一定要先把注入的原理弄清楚了.俗话说:最好的防守是进攻,进攻都不知道,何来防守呀?所以我希望管理员不要把这个文章给删除了,更不要封我的Blog了。我不是在教大家坏.刀并没有错,错就错在拿刀的人呀!再说每一个聪明的人,有怎么会无缘无故去破坏别人的网站呢?好了,闲话不多说了,下面一一讲述,就算以前对之一窍不通,认真看了本文,相信可以对注入有深刻的了解,进
2007-10-13 23:50:00 402
原创 .NET防SQL注入之上篇
1.数据库的管理员表名尽量不采用常见的名称. ----------------------- 很多SQL注入工具如明小子都是采用穷举法暴力猜测数据库表名称和字段名称,例如明小子自带的管理员表名有:useradminmanagea_adminx_adminm_adminpasswordadmin_userinfocl
2007-10-13 23:11:00 412
转载 Static(c++)
When modifying a variable, the static keyword specifies that the variable has static duration (it is allocated when the program begins and deallocated when the program ends) and initializes it
2007-10-12 10:37:00 304
转载 ASP.NET防SQL注入攻击
一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴ 某个ASP.NET Web应用有一个登录页面,这个登录
2007-10-11 16:28:00 315
转载 索引器
索引器允许类或结构的实例按照与数组相同的方式进行索引。索引器类似于属性,不同之处在于它们的访问器采用参数。在下面的示例中,定义了一个泛型类,并为其提供了简单的 get 和 set 访问器方法(作为分配和检索值的方法)。Program 类为存储字符串创建了此类的一个实例。C#class SampleCollection{ private T[] arr = ne
2007-10-11 11:00:00 281
转载 virtual
The virtual keyword is used to modify a method or property declaration, in which case the method or the property is called a virtual member. The implementation of a virtual member can be change
2007-10-11 10:41:00 225
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人