发现用IE调试ASP页面时,IE总是很难反应ASP页面的变化,在改动了ASP源码后,不管如何刷新都没有用,只能关了再开才有新反应。而用与Mozilla同宗的FireFox,则没有这种现象,一刷就灵,可能是IE的缓存在做怪吧(XML缓存)。
用FireFox的优点还不少,以后再说。
布罗格的烘培机
Firefox、Opera、Safari下有的页面会出错,原因是以前的HTML数据不规范所致。
2004-06-09 , 星期三 , 03:56:42
FireFox调试网页之与IE的比较
这两天在做一个ASP版的探针,功能没有什么长进,只是在程序中采用了面向对象的方法,结构上是数据与表示分离的模式。
发现用IE调试ASP页面时,IE总是很难反应ASP页面的变化,在改动了ASP源码后,不管如何刷新都没有用,只能关了再开才有新反应。而用与Mozilla同宗的FireFox,则没有这种现象,一刷就灵,可能是IE的缓存在做怪吧(XML缓存)。
用FireFox的优点还不少,以后再说。
发现用IE调试ASP页面时,IE总是很难反应ASP页面的变化,在改动了ASP源码后,不管如何刷新都没有用,只能关了再开才有新反应。而用与Mozilla同宗的FireFox,则没有这种现象,一刷就灵,可能是IE的缓存在做怪吧(XML缓存)。
用FireFox的优点还不少,以后再说。
发布:zx.asd | 分类:电脑笔记 | 评论:0 |
2004-06-05 , 星期六 , 20:49:39
这是一个追求“色与声”的时代
MicroSoft发布了新一代WMP10,界面有了更新的变化。
看看最新的截图:
那边GUI奥林匹克的评选也在如火如荼的展开着,在ChinaUI上高兴的看到有中国的团队参加比赛,Rising Dragon做的真是不错,希望有个好名次。
那边GUI奥林匹克的评选也在如火如荼的展开着,在ChinaUI上高兴的看到有中国的团队参加比赛,Rising Dragon做的真是不错,希望有个好名次。
Winamp5的MMD3界面算是Winamp家族中最好的了,真不知道为什么要弄个Winamp3,直接搞Winamp5不行吗,2.X的原有的巨大的Skin资源不利用真是很愚蠢的。
一点相法:看见ChinaUI上的“热点排名”很长时间都不动,是应该设计一个比较优良的排名算法,可以仿照GOOGLE的,对于点击率高的条目,应调低它的权值,让它不能一直增量,还要被扣分,让点击率低的条目有机会上升。这样才是一个合理的系统。
看看最新的截图:
那边GUI奥林匹克的评选也在如火如荼的展开着,在ChinaUI上高兴的看到有中国的团队参加比赛,Rising Dragon做的真是不错,希望有个好名次。
那边GUI奥林匹克的评选也在如火如荼的展开着,在ChinaUI上高兴的看到有中国的团队参加比赛,Rising Dragon做的真是不错,希望有个好名次。
Winamp5的MMD3界面算是Winamp家族中最好的了,真不知道为什么要弄个Winamp3,直接搞Winamp5不行吗,2.X的原有的巨大的Skin资源不利用真是很愚蠢的。
一点相法:看见ChinaUI上的“热点排名”很长时间都不动,是应该设计一个比较优良的排名算法,可以仿照GOOGLE的,对于点击率高的条目,应调低它的权值,让它不能一直增量,还要被扣分,让点击率低的条目有机会上升。这样才是一个合理的系统。
发布:zx.asd | 分类:电脑笔记 | 评论:0 |
2004-05-31 , 星期一 , 01:01:41
预防SQL注入式攻击
对于做ASP网站和写SQL语句的人都会遇到这种问题,什么,你没遇到过?那是你运气好,没人来hack你。
从根本入手,将问题防住,不仅仅“SQL注入式攻击”一个方面,还有其它的安全方面的问题,都要引起我们足够的重视,这是个习惯。
1.使用双引号
使用双引号替换掉所有用户输入的单引号,这个简单的预防措施将在很大程序上预防SQL注射攻击,单引号常常结束掉SQL语句,可能给于输入者不必要的权力。用双引号替换掉单引号可以使许多SQL注射攻击失败。
第一次翻译文章,不好的地方大家不要见怪:)
2.避免动态的SQL语句
动态的SQL语句是一个进行数据库查询的强大的工具,但把它和用户输入混合在一起就使SQL注射成为了可能。将动态的SQL语句替换成预编译的SQL或者存储过程对大多数应用程序是可行的。预编译的SQL或者存储过程可以将用户的输入做为参数而不是SQL命令来接收,这样就限制了入侵者的行动。当然,它不适用于你的存储过程中是利用用户输入来生成SQL命令的情况。在这种情况下,用户输入的SQL命令仍可能得到执行,你的数据库仍然有受SQL注射攻击的危险。
3.验证所有的输入
如果一个输入框只可能包括数字,那么要通过验证确保用户输入的都是数字。如果可以接受字母,那就要检查是不是存在不可接受的字符。确保你的应用程序要检查以下字符:分号,等号,破折号,括号以及SQL关键字。.NET FRAMEWORK提供了正则表达式来进行复杂的模式匹配,运用它可以达到良好的效果。另外限制用户输入的字符的长度也是一个好主意。验证用户输入是必须的,因为入侵者可以利用WEB的开放性对应用程序进行SQL注射攻击。
4.最小权力法则
应用程序使用的去连接数据库的帐户应该只拥有必须的特权,这样有助于保护整个系统尽可能少的受到入侵者的危害。应用程序不应该用SA或者管理员帐户去连接数据库。作为替代,它应该只有访问它要调用的单个库的权力。
所有的关系型数据库——包括SQL SERVER,ORACLE,IBM DB2和MYSQL都容易受到SQL注入攻击。你可以购买一些产品来保护你的系统免受SQL注射攻击,但在大多数商务中,预防SQL注射必须是基于代码级的。SQL注射攻击主要来自WEB应用程序将用户的包含动态SQL代码的输入转换成了SQL 命令给数据库执行。你可以采用下面的四个重要的步骤来保护你的WEB应用程序免受攻击。除此之外,上个月我在强调的MSDN中模式与训练也提出了一些保护数据库驱动的WEB应用程序的建议。
引自:观自在书院
从根本入手,将问题防住,不仅仅“SQL注入式攻击”一个方面,还有其它的安全方面的问题,都要引起我们足够的重视,这是个习惯。
预防SQL注入式攻击
Michael Otey(MSDN)
1.使用双引号
使用双引号替换掉所有用户输入的单引号,这个简单的预防措施将在很大程序上预防SQL注射攻击,单引号常常结束掉SQL语句,可能给于输入者不必要的权力。用双引号替换掉单引号可以使许多SQL注射攻击失败。
第一次翻译文章,不好的地方大家不要见怪:)
2.避免动态的SQL语句
动态的SQL语句是一个进行数据库查询的强大的工具,但把它和用户输入混合在一起就使SQL注射成为了可能。将动态的SQL语句替换成预编译的SQL或者存储过程对大多数应用程序是可行的。预编译的SQL或者存储过程可以将用户的输入做为参数而不是SQL命令来接收,这样就限制了入侵者的行动。当然,它不适用于你的存储过程中是利用用户输入来生成SQL命令的情况。在这种情况下,用户输入的SQL命令仍可能得到执行,你的数据库仍然有受SQL注射攻击的危险。
3.验证所有的输入
如果一个输入框只可能包括数字,那么要通过验证确保用户输入的都是数字。如果可以接受字母,那就要检查是不是存在不可接受的字符。确保你的应用程序要检查以下字符:分号,等号,破折号,括号以及SQL关键字。.NET FRAMEWORK提供了正则表达式来进行复杂的模式匹配,运用它可以达到良好的效果。另外限制用户输入的字符的长度也是一个好主意。验证用户输入是必须的,因为入侵者可以利用WEB的开放性对应用程序进行SQL注射攻击。
4.最小权力法则
应用程序使用的去连接数据库的帐户应该只拥有必须的特权,这样有助于保护整个系统尽可能少的受到入侵者的危害。应用程序不应该用SA或者管理员帐户去连接数据库。作为替代,它应该只有访问它要调用的单个库的权力。
所有的关系型数据库——包括SQL SERVER,ORACLE,IBM DB2和MYSQL都容易受到SQL注入攻击。你可以购买一些产品来保护你的系统免受SQL注射攻击,但在大多数商务中,预防SQL注射必须是基于代码级的。SQL注射攻击主要来自WEB应用程序将用户的包含动态SQL代码的输入转换成了SQL 命令给数据库执行。你可以采用下面的四个重要的步骤来保护你的WEB应用程序免受攻击。除此之外,上个月我在强调的MSDN中模式与训练也提出了一些保护数据库驱动的WEB应用程序的建议。
引自:观自在书院
发布:zx.asd | 分类:电脑笔记 | 评论:0 |
2004-05-30 , 星期日 , 12:37:54
HTML页面的参数化实现(仿ASP)
在《微电脑世界》上看到一篇文章《在HTML网页中巧用URL》讲到HTML页面如何象asp一样接受参数的问题,看后犹如晴天霹雳一般,原来还有window.location.href这样的好东东,都怪自己平日不好好看资料。
看了之后,我立刻写出了JS函数来过滤得到相应的参数,加上正则式,真是perfect。 配上DHTML和XML,一个静态网站就活了,很神奇吧!
//JavaSctript实现
如果查找参数不成功,则返回值="undefined",可以再判断。
本涵数只匹配最后找到的一个参数。
(本方法在2004年2月份已实现,应用在了我的两个HTML版的网站上,现写在BLOGBUS上,呵呵。)
示例:RainbowSoft Studio 2004版主页-彩虹天地2004
示例:GoogleLogoShow 第一版
看了之后,我立刻写出了JS函数来过滤得到相应的参数,加上正则式,真是perfect。 配上DHTML和XML,一个静态网站就活了,很神奇吧!
//JavaSctript实现
如果查找参数不成功,则返回值="undefined",可以再判断。
本涵数只匹配最后找到的一个参数。
(本方法在2004年2月份已实现,应用在了我的两个HTML版的网站上,现写在BLOGBUS上,呵呵。)
示例:RainbowSoft Studio 2004版主页-彩虹天地2004
示例:GoogleLogoShow 第一版
发布:zx.asd | 分类:电脑笔记 | 评论:0 |