崔成龙 . 勇往直前—大米时代

httpclientutil开源项目创建者。关注开源~https://github.com/Arronlong

三步堵死SQL注入漏洞

SQL注入是什么?   许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。 网站...

2011-08-25 23:40:34

阅读数:935

评论数:3

防范Sql注入式攻击

Sql注入式攻击是指利用设计上的漏洞,在目标服务器上运行Sql 命令以及进行其他方式的攻击 动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因 比如一个在线书店,可以根据用户的输入关键字搜索相关的图书。 string name = GetUserInput(&qu...

2011-08-25 23:36:06

阅读数:837

评论数:2

编写通用的ASP防SQL注入攻击程序

SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味,发现现在大部分黑客入侵都是基于SQL注入实现的,哎,谁让这个入门容易呢,好了,不说废话了,现在我开始说如果编写通用的SQL防注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字...

2011-08-25 23:20:01

阅读数:901

评论数:3

SQL Server应用程序中的高级SQL注入

摘要: 这份文档是详细讨论SQL注入技术,它适应于比较流行的IIS+ASP+SQLSERVER平台。它讨论了哪些SQL语句能通过各种各样的方法注入到应用程序中,并且记录与攻击相关的数据确认和数据库锁定。 这份文档的预期读者为与数据库通信的WEB程序的开发者和那些扮演审核WEB应用程序的安全专家...

2011-08-25 23:12:35

阅读数:958

评论数:1

SQL注入法攻击一日通

随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根 据程序返回的结果,获得某些他想得知的数据,这就是所谓...

2011-08-25 23:05:12

阅读数:1054

评论数:1

SQL注入漏洞全接触--高级篇

看完入门篇和进阶篇后,稍加练习,破解一般的网站是没问题了。但如果碰到表名列名猜不到,或程序作者过滤了一些特殊字符,怎么提高注入的成功率?怎么样提高猜解效率?请大家接着往下看高级篇。 第一节、利用系统表注入SQLServer数据库 SQLServer是一个功能强大的数据库系统,与操作系统也有紧密...

2011-08-25 22:57:13

阅读数:1141

评论数:1

SQL注入漏洞全接触--进阶篇

第一节、SQL注入的一般步骤 首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。 其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种: (A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下: Select * from 表名 ...

2011-08-25 22:53:31

阅读数:1289

评论数:1

SQL注入漏洞全接触--入门篇

随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得...

2011-08-25 22:51:10

阅读数:1517

评论数:5

关于编程,大学没有传授的十件事

笔者依然记得当年完成学业时,深信自己已经准备好进入任何一家软件公司,并开始成为一个顶级的开发人员。显然,开始工作后没多久,笔者就意识到,还有很多事是我所不了解的。   在不断吸取经验的同时,笔者一直在努力学习那些我从来没有学过的,但却是成为优秀的开发人员所应了解的基本知识。以下

2011-08-25 09:53:55

阅读数:1324

评论数:2

十种技术保证在程序之路上不会被out (2005年)

一、XML     在十种技术中,最重要的一种技术我想应该非XML莫属。这里不仅仅指XML规范本身,还包括一系列有关的基于XML的语言:主要有XHTML,XSLT,XSL,DTDs,XML Schema(XSD),XPath,XQuery和SOAP.如果你现在还对XML一无所

2011-08-16 23:56:08

阅读数:1088

评论数:12

认真对待数据库中char和varchar

大家现在都在做或者做完了机房收费系统,其中创建数据库阶段,会涉及到数据类型的设置,大家都有所了解了,那么我们来讨论一下其中的Char和Varchar的区别吧。   先说一下它们的工作方式: Char是固定长度的字符型,VarChar是可变长度的字符型。什么意思呢?我们举

2011-08-16 23:46:09

阅读数:2225

评论数:12

GetComputerName正确获取中英文计算机名

用 GetComputerName来获取用户名时,如果处理不好,中文的计算机名则只会显示部分,该计算机名以ASCII码为0的字符结尾。所以我们要去掉这个字符。 Option Explicit Private Const MAX_COMPUTERNAME_LENGTH As

2011-08-15 22:22:16

阅读数:4968

评论数:7

VB为报表GridReport设定显示时间

在机房收费系统中,有个“周结账单”,可以提供按日期查询账单功能。但是报表要显示选定的时间。怎么做呢??        首先在报表主对象中插入参数,步骤:右击参数集合->插入->参数,然后改为有意义的名称。如右图。        然后在报表模版中插入综合文字框,步骤:在要添加部件的地...

2011-08-15 19:24:53

阅读数:2683

评论数:21

人生九度

1.工作方面,能力不敌态度; 2.事业方面,才华不敌韧度; 3.知识方面,广博不敌深度; 4.思想方面,敏锐不敌高度; 5.做人方面,精明不敌气度; 6.做事方面,速度不敌精度; 7.看人方面,外貌不敌风度; 8.写作方面,文采不敌角度; 9.方法方面,创意不敌适度

2011-08-09 08:02:29

阅读数:1493

评论数:5

MSDN也有错

谈起VB的权威来,自然是MSDN了,我们有什么问题,都会想去那里找到最终的答案。但是权威也只是权威,不是圣贤。         请看这个函数Instr: 参数 Start 可选。数值表达式,设置每个搜索的起始位置。如果省略该参数,则从第一个字符位置开始搜索。起始索

2011-08-08 18:24:45

阅读数:991

评论数:8

提示
确定要删除当前文章?
取消 删除
关闭
关闭