- 博客(15)
- 资源 (7)
- 收藏
- 关注
转载 三步堵死SQL注入漏洞
SQL注入是什么? 许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。网站的恶梦——SQL注入 SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员
2011-08-25 23:40:34 1127 3
转载 防范Sql注入式攻击
Sql注入式攻击是指利用设计上的漏洞,在目标服务器上运行Sql 命令以及进行其他方式的攻击动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因比如一个在线书店,可以根据用户的输入关键字搜索相关的图书。string name = GetUserInput("BookName");string script = "select table_book where
2011-08-25 23:36:06 1001 2
转载 编写通用的ASP防SQL注入攻击程序
SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味,发现现在大部分黑客入侵都是基于SQL注入实现的,哎,谁让这个入门容易呢,好了,不说废话了,现在我开始说如果编写通用的SQL防注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到SQL注入攻击。 IIS
2011-08-25 23:20:01 1096 3
转载 SQL Server应用程序中的高级SQL注入
摘要:这份文档是详细讨论SQL注入技术,它适应于比较流行的IIS+ASP+SQLSERVER平台。它讨论了哪些SQL语句能通过各种各样的方法注入到应用程序中,并且记录与攻击相关的数据确认和数据库锁定。这份文档的预期读者为与数据库通信的WEB程序的开发者和那些扮演审核WEB应用程序的安全专家。介绍:SQL是一种用于关系数据库的结构化查询语言。它分为许多种,但大多数都松散地基于美国国家
2011-08-25 23:12:35 1178 1
转载 SQL注入法攻击一日通
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一
2011-08-25 23:05:12 1289 1
转载 SQL注入漏洞全接触--高级篇
看完入门篇和进阶篇后,稍加练习,破解一般的网站是没问题了。但如果碰到表名列名猜不到,或程序作者过滤了一些特殊字符,怎么提高注入的成功率?怎么样提高猜解效率?请大家接着往下看高级篇。第一节、利用系统表注入SQLServer数据库SQLServer是一个功能强大的数据库系统,与操作系统也有紧密的联系,这给开发者带来了很大的方便,但另一方面,也为注入者提供了一个跳板,我们先来看看几个具体的例子:
2011-08-25 22:57:13 1395 1
转载 SQL注入漏洞全接触--进阶篇
第一节、SQL注入的一般步骤首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种:(A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下:Select * from 表名 where 字段=49注入的参数为ID=49 And [查询条件],即是生成语句:Select
2011-08-25 22:53:31 1535 1
转载 SQL注入漏洞全接触--入门篇
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 SQL注入是从正常的WWW
2011-08-25 22:51:10 1826 5
翻译 关于编程,大学没有传授的十件事
笔者依然记得当年完成学业时,深信自己已经准备好进入任何一家软件公司,并开始成为一个顶级的开发人员。显然,开始工作后没多久,笔者就意识到,还有很多事是我所不了解的。 在不断吸取经验的同时,笔者一直在努力学习那些我从来没有学过的,但却是成为优秀的开发人员所应了解的基本知识。以下
2011-08-25 09:53:55 1489 2
转载 十种技术保证在程序之路上不会被out (2005年)
一、XML 在十种技术中,最重要的一种技术我想应该非XML莫属。这里不仅仅指XML规范本身,还包括一系列有关的基于XML的语言:主要有XHTML,XSLT,XSL,DTDs,XML Schema(XSD),XPath,XQuery和SOAP.如果你现在还对XML一无所
2011-08-16 23:56:08 1312 12
原创 认真对待数据库中char和varchar
大家现在都在做或者做完了机房收费系统,其中创建数据库阶段,会涉及到数据类型的设置,大家都有所了解了,那么我们来讨论一下其中的Char和Varchar的区别吧。 先说一下它们的工作方式:Char是固定长度的字符型,VarChar是可变长度的字符型。什么意思呢?我们举
2011-08-16 23:46:09 2664 12
原创 GetComputerName正确获取中英文计算机名
用 GetComputerName来获取用户名时,如果处理不好,中文的计算机名则只会显示部分,该计算机名以ASCII码为0的字符结尾。所以我们要去掉这个字符。Option ExplicitPrivate Const MAX_COMPUTERNAME_LENGTH As
2011-08-15 22:22:16 5913 7
原创 VB为报表GridReport设定显示时间
在机房收费系统中,有个“周结账单”,可以提供按日期查询账单功能。但是报表要显示选定的时间。怎么做呢?? 首先在报表主对象中插入参数,步骤:右击参数集合->插入->参数,然后改为有意义的名称。如右图。 然后在报表模版中插入综合文字框,步骤:在要添加部件的地方右击->插入->部件框->综合文字框,然后点击文字框,在里面输入参数名和显示的文字,参数格式为[#Paramet
2011-08-15 19:24:53 3450 20
原创 人生九度
1.工作方面,能力不敌态度;2.事业方面,才华不敌韧度;3.知识方面,广博不敌深度;4.思想方面,敏锐不敌高度;5.做人方面,精明不敌气度;6.做事方面,速度不敌精度;7.看人方面,外貌不敌风度;8.写作方面,文采不敌角度;9.方法方面,创意不敌适度
2011-08-09 08:02:29 1666 5
原创 MSDN也有错
谈起VB的权威来,自然是MSDN了,我们有什么问题,都会想去那里找到最终的答案。但是权威也只是权威,不是圣贤。 请看这个函数Instr:参数Start 可选。数值表达式,设置每个搜索的起始位置。如果省略该参数,则从第一个字符位置开始搜索。起始索
2011-08-08 18:24:45 1250 8
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人