SQL Server应用程序中的高级SQL注入(2)
[ 2005-05-24 13:32:26 | 作者: admin ]
SQL Server应用程序中的高级SQL注入(2)
中文转载--
SQL Server应用程序中的高级SQL注入
[xp_cmdshell]
许多存储过程被创建在SQLSERVER中,执行各种各样的功能,例如发送电子邮件和与注册表交互。
Xp_cmdshell是一个允许执行任意的命令行命令的内置的存储过程。例如:
Exec master..xp_cmdshell ’dir’
将获得SQLSERVER进程的当前工作目录中的目录列表。
Exec master..xp_cmdshell ’net user’
将提供服务器上所有用户的列表。当SQLSERVER正常以系统帐户或域帐户运行时,攻击者可以做出更严重的危害。
[xp_regread]
另一个有用的内置存储过程是xp_regXXXX类的函数集合。
Xp_regaddmultistring
...
阅读全文…
中文转载--
SQL Server应用程序中的高级SQL注入
[xp_cmdshell]
许多存储过程被创建在SQLSERVER中,执行各种各样的功能,例如发送电子邮件和与注册表交互。
Xp_cmdshell是一个允许执行任意的命令行命令的内置的存储过程。例如:
Exec master..xp_cmdshell ’dir’
将获得SQLSERVER进程的当前工作目录中的目录列表。
Exec master..xp_cmdshell ’net user’
将提供服务器上所有用户的列表。当SQLSERVER正常以系统帐户或域帐户运行时,攻击者可以做出更严重的危害。
[xp_regread]
另一个有用的内置存储过程是xp_regXXXX类的函数集合。
Xp_regaddmultistring
...
阅读全文…
Asp.net中Cookie简明参考
[ 2005-05-24 13:31:43 | 作者: admin ]
Asp.net中Cookie简明参考
一 写入Cookie
1. Name 和 Value 属性由程序设定,默认值都是空引用。
2. Domain属性的默认值为当前URL的域名部分,不管发出这个cookie的页面在哪个目录下的。
例如,http://www.kent.com/application1/login.aspx 页面中发出一个cookie,Domain属性缺省就是www.kent.com ,可以由程序设置此属性为需要的值。
3. Path属性的默认值是根目录,即 ”/” ,不管发出这个cookie的页面在哪个目录下的。可以由程序设置为一定的路径来进一步限制此cookie的作用范围。
4. Expires 属性,这个属性设置此Cookie 的过期日期和时间。如果没有设置 Cookie 的有效期(默认设置),也可以创建 ...
阅读全文…
Cookie莫名奇妙的过期,cookie无法保存?
[ 2005-05-24 10:57:33 | 作者: admin ]
变傻的Cookie
结论:cookie保存如果没有设置永远的话,那么就会在服务器时间的基础上设置过期时间,但是如果本地时间不准确,那么cookie的时间也就没有办法准确了,所以无法保存,因为早就过期了啊,所以解决问题的方法就是准确设置好本地时间!
一、打开Cookie编辑软件IECookiesView(下载地址:http://dl.pconline.com.cn/html/1/6/dlid=8866&dltypeid=1&pn=0&.html),找到相应的论坛信息,发现Cookie信息为空(如图1),这让笔者的非常诧异,为什么无法保存Cookie呢?难道是IE浏览器的安全等级太高了?想起来刚刚装完SP2补丁,有可能是安全设置问题,于是查看IE属性,在“隐私”选项中选择“高级”,然后勾选“覆盖自动Cookie处理”,最后接受所有的Cookie并选择“总是允许会话Cookie”,保存后退出。重新登录该论坛,发现问题依旧。
...
阅读全文…
结论:cookie保存如果没有设置永远的话,那么就会在服务器时间的基础上设置过期时间,但是如果本地时间不准确,那么cookie的时间也就没有办法准确了,所以无法保存,因为早就过期了啊,所以解决问题的方法就是准确设置好本地时间!
一、打开Cookie编辑软件IECookiesView(下载地址:http://dl.pconline.com.cn/html/1/6/dlid=8866&dltypeid=1&pn=0&.html),找到相应的论坛信息,发现Cookie信息为空(如图1),这让笔者的非常诧异,为什么无法保存Cookie呢?难道是IE浏览器的安全等级太高了?想起来刚刚装完SP2补丁,有可能是安全设置问题,于是查看IE属性,在“隐私”选项中选择“高级”,然后勾选“覆盖自动Cookie处理”,最后接受所有的Cookie并选择“总是允许会话Cookie”,保存后退出。重新登录该论坛,发现问题依旧。
...
阅读全文…
sql中用replace来操作ntext,text字段
[ 2005-05-04 17:39:57 | 作者: admin ]
----------------------------------------------方法一--------------------------------------------------------------
update tablename set fieldA=replace(cast(fieldA as varchar(8000)) ,'aa','bb')这样的语句
----------------------------------------------方法二--------------------------------------------------------------
支持text字段处理的仅有:
下面的函数和语句可以与 ntext、text 或 image 数据一起使用。
函数 语句
DATALENGTH READTEXT
...
阅读全文…
update tablename set fieldA=replace(cast(fieldA as varchar(8000)) ,'aa','bb')这样的语句
----------------------------------------------方法二--------------------------------------------------------------
支持text字段处理的仅有:
下面的函数和语句可以与 ntext、text 或 image 数据一起使用。
函数 语句
DATALENGTH READTEXT
...
阅读全文…
三层式开发中的层次划分讨论
[ 2005-05-03 15:00:01 | 作者: admin ]
先举一个曾经在哪本书上看到的例子:现在你想在1米宽的小溪上建一座桥,你会在上面放块木板就完了。如果想在宽一点的小河上建这桥,你就需要计算木材用料,价格等,如果需要别人帮忙,你还要多一些图纸什么的让别人理解你的想法。现在你要在大江上面建桥,你需要有整体的计划,包括各个方面,比如将来可能的收费和利益分配等问题。
这里讲3层式,其实是针对“大江上面建桥”来的,对于1米宽的小溪,在实际中可能一点用都没有。不过现在我不可能去拿个长江大桥作例子来讲,所以这里还是用这条简单的小溪,讲讲怎么建桥。之所以讲这么多废话,是为了防止部分人看完此文之后“小小一个东西,搞那么麻烦干什么。。”其实这里讲的不是具体的这个例子,而是分层的思想,理解这点非常重要。
下面我就我们大家日常见最多的例子来讲,就是“用户登录”的例子。这个例子很简单,但是麻雀虽小五脏俱全。从数据访问到业务规则到界面全有了。
...
阅读全文…
