2011年08月_龙轩

12月 11月 10月 09月 08月

转载三步堵死SQL注入漏洞

SQL注入是什么？　　许多网站程序在编写时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码（一般是在浏览器地址栏进行,通过正常的www端口访问），根据程序返回的结果，获得某些想得知的数据，这就是所谓的SQL Injection，即SQL注入。网站的恶梦——SQL注入　　SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员

2011-08-25 23:40:34 1127 3

转载防范Sql注入式攻击

Sql注入式攻击是指利用设计上的漏洞，在目标服务器上运行Sql 命令以及进行其他方式的攻击动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因比如一个在线书店，可以根据用户的输入关键字搜索相关的图书。string name = GetUserInput("BookName");string script = "select table_book where

2011-08-25 23:36:06 1001 2

转载编写通用的ASP防SQL注入攻击程序

SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味，发现现在大部分黑客入侵都是基于SQL注入实现的，哎，谁让这个入门容易呢，好了，不说废话了，现在我开始说如果编写通用的SQL防注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可，所以我们实现http 请求信息过滤就可以判断是是否受到SQL注入攻击。　　IIS

2011-08-25 23:20:01 1096 3

转载 SQL Server应用程序中的高级SQL注入

摘要：这份文档是详细讨论SQL注入技术，它适应于比较流行的IIS+ASP+SQLSERVER平台。它讨论了哪些SQL语句能通过各种各样的方法注入到应用程序中，并且记录与攻击相关的数据确认和数据库锁定。这份文档的预期读者为与数据库通信的WEB程序的开发者和那些扮演审核WEB应用程序的安全专家。介绍：SQL是一种用于关系数据库的结构化查询语言。它分为许多种，但大多数都松散地基于美国国家

2011-08-25 23:12:35 1178 1

转载 SQL注入法攻击一日通

随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。SQL注入是从正常的WWW端口访问，而且表面看起来跟一

2011-08-25 23:05:12 1289 1

转载 SQL注入漏洞全接触--高级篇

看完入门篇和进阶篇后，稍加练习，破解一般的网站是没问题了。但如果碰到表名列名猜不到，或程序作者过滤了一些特殊字符，怎么提高注入的成功率？怎么样提高猜解效率？请大家接着往下看高级篇。第一节、利用系统表注入SQLServer数据库SQLServer是一个功能强大的数据库系统，与操作系统也有紧密的联系，这给开发者带来了很大的方便，但另一方面，也为注入者提供了一个跳板，我们先来看看几个具体的例子：

2011-08-25 22:57:13 1395 1

转载 SQL注入漏洞全接触--进阶篇

第一节、SQL注入的一般步骤首先，判断环境，寻找注入点，判断数据库类型，这在入门篇已经讲过了。其次，根据注入参数类型，在脑海中重构SQL语句的原貌，按参数类型主要分为下面三种：(A) ID=49 这类注入的参数是数字型，SQL语句原貌大致如下：Select * from 表名 where 字段=49注入的参数为ID=49 And [查询条件]，即是生成语句：Select

2011-08-25 22:53:31 1535 1

转载 SQL注入漏洞全接触--入门篇

随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。 SQL注入是从正常的WWW

2011-08-25 22:51:10 1826 5

翻译关于编程，大学没有传授的十件事

笔者依然记得当年完成学业时，深信自己已经准备好进入任何一家软件公司，并开始成为一个顶级的开发人员。显然，开始工作后没多久，笔者就意识到，还有很多事是我所不了解的。　　在不断吸取经验的同时，笔者一直在努力学习那些我从来没有学过的，但却是成为优秀的开发人员所应了解的基本知识。以下

2011-08-25 09:53:55 1489 2

转载十种技术保证在程序之路上不会被out (2005年)

一、XML 　　在十种技术中，最重要的一种技术我想应该非XML莫属。这里不仅仅指XML规范本身，还包括一系列有关的基于XML的语言：主要有XHTML，XSLT，XSL，DTDs，XML Schema(XSD)，XPath，XQuery和SOAP.如果你现在还对XML一无所

2011-08-16 23:56:08 1312 12

原创认真对待数据库中char和varchar

大家现在都在做或者做完了机房收费系统，其中创建数据库阶段，会涉及到数据类型的设置，大家都有所了解了，那么我们来讨论一下其中的Char和Varchar的区别吧。先说一下它们的工作方式：Char是固定长度的字符型，VarChar是可变长度的字符型。什么意思呢？我们举

2011-08-16 23:46:09 2664 12

原创 GetComputerName正确获取中英文计算机名

用 GetComputerName来获取用户名时，如果处理不好，中文的计算机名则只会显示部分，该计算机名以ASCII码为0的字符结尾。所以我们要去掉这个字符。Option ExplicitPrivate Const MAX_COMPUTERNAME_LENGTH As

2011-08-15 22:22:16 5913 7

原创 VB为报表GridReport设定显示时间

在机房收费系统中，有个“周结账单”，可以提供按日期查询账单功能。但是报表要显示选定的时间。怎么做呢？？首先在报表主对象中插入参数，步骤：右击参数集合->插入->参数，然后改为有意义的名称。如右图。然后在报表模版中插入综合文字框，步骤：在要添加部件的地方右击->插入->部件框->综合文字框，然后点击文字框，在里面输入参数名和显示的文字，参数格式为[#Paramet

2011-08-15 19:24:53 3450 20