SQL注入漏洞全接触
作者:ruotongsong 日期:2008-08-25
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
但是,SQL注入的手法相当...
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
但是,SQL注入的手法相当...
标签:
tomcat web.xml配置详解
作者:ruotongsong 日期:2008-08-21
1 定义头和根元素
部署描述符文件就像所有XML文件一样,必须以一个XML头开始。这个头声明可以使用的XML版本并给出文件的字符编码。
DOCYTPE声明必须立即出现在此头之后。这个声明告诉服务器适用的servlet规范的版本(如2.2或2.3)并指定管理此文件其余部分内容的语法的DTD(Document Type Definition,文档类型定义)。
所有部署描述符文件的顶层(根)元素为web-app。请注意,XML元素不像HTML,他们是大小写敏感的。因此,web-App和WEB-APP都是不合法的,web-app必须用小写。
1 定义头和根元素
XML 元素不仅是...
部署描述符文件就像所有XML文件一样,必须以一个XML头开始。这个头声明可以使用的XML版本并给出文件的字符编码。
DOCYTPE声明必须立即出现在此头之后。这个声明告诉服务器适用的servlet规范的版本(如2.2或2.3)并指定管理此文件其余部分内容的语法的DTD(Document Type Definition,文档类型定义)。
所有部署描述符文件的顶层(根)元素为web-app。请注意,XML元素不像HTML,他们是大小写敏感的。因此,web-App和WEB-APP都是不合法的,web-app必须用小写。
1 定义头和根元素
XML 元素不仅是...
标签:
使用iframe,对form中target的使用
作者:ruotongsong 日期:2008-08-21
我有下面一段程序:
1.jsp中:
<form name="form1" method="post" action="2.jsp" target="heart">
<input type="submit" name="download"/>
</form>
<iframe marginwidth=0 marginheight=0 name="heart" frameborder="no&...
1.jsp中:
<form name="form1" method="post" action="2.jsp" target="heart">
<input type="submit" name="download"/>
</form>
<iframe marginwidth=0 marginheight=0 name="heart" frameborder="no&...
标签:
Tomcat 下的定时任务
作者:ruotongsong 日期:2008-08-21
Tomcat 下的定时任务
SysContextListener.java
package axtic.servlet;
import java.util.Timer;//定时器类
import axtic.bean.exportHistoryBean;
import javax.servlet.ServletContextEvent;
import javax.servlet.ServletContextListener;
public class SysContextListener implements ServletContextListener
{
pr...
SysContextListener.java
package axtic.servlet;
import java.util.Timer;//定时器类
import axtic.bean.exportHistoryBean;
import javax.servlet.ServletContextEvent;
import javax.servlet.ServletContextListener;
public class SysContextListener implements ServletContextListener
{
pr...
标签:
Java 中Iterator 、Vector、ArrayList、List 使用深入剖析
作者:ruotongsong 日期:2008-08-21
线性表,链表,哈希表是常用的数据结构,在进行Java开发时,JDK已经为我们提供了一系列相应的类来实现基本的数据结构。这些类均在java.util包中。本文试图通过简单的描述,向读者阐述各个类的作用以及如何正确使用这些类。
Collection
├List
│├LinkedList
│├ArrayList
│└Vector
│ └Stack
└Set
Map
├Hashtable
├HashMap
└WeakHashMap
Collection接口
Collection是最基本的集合接口,一个Collection代表一组Object,即Collection的...
Collection
├List
│├LinkedList
│├ArrayList
│└Vector
│ └Stack
└Set
Map
├Hashtable
├HashMap
└WeakHashMap
Collection接口
Collection是最基本的集合接口,一个Collection代表一组Object,即Collection的...
标签:
数据库基础教程
作者:ruotongsong 日期:2008-08-21
http://211.83.32.106/jpkc/Oracle/lxkj01.html
标签:
exp/imp命令详解
作者:ruotongsong 日期:2008-08-21
oracle数据库 exp/imp命令详解
2007-08-28 14:51
ORACLE数据库有两类备份方法。第一类为物理备份,该方法实现数据库的完整恢复,但
数据库必须运行在归挡模式下(业务数据库在非归挡模式下运行),且需要极大的外部
存储设备,例如磁带库;第二类备份方式为逻辑备份,业务数据库采用此种方式,此方
法不需要数据库运行在归挡模式下,不但备份简单,而且可以不需要外部存储设备。
数据库逻辑备份方法
ORACLE数据库的逻辑备份分为三种模式:表备份、用户备份和完全备份。
表模式
备份某个用户模式下指定的对象(表)。业务数据库通常采用这种备份方式。
若备份到本地文件...
2007-08-28 14:51
ORACLE数据库有两类备份方法。第一类为物理备份,该方法实现数据库的完整恢复,但
数据库必须运行在归挡模式下(业务数据库在非归挡模式下运行),且需要极大的外部
存储设备,例如磁带库;第二类备份方式为逻辑备份,业务数据库采用此种方式,此方
法不需要数据库运行在归挡模式下,不但备份简单,而且可以不需要外部存储设备。
数据库逻辑备份方法
ORACLE数据库的逻辑备份分为三种模式:表备份、用户备份和完全备份。
表模式
备份某个用户模式下指定的对象(表)。业务数据库通常采用这种备份方式。
若备份到本地文件...
标签:
整理数据的小技巧-使用Excel 、SQLPLUS和PL/SQL developer
作者:ruotongsong 日期:2008-08-21
http://www.eygle.com/archives/2004/10/data_transfer_between_excel_oracle.html
标签:
prototype.js的使用
作者:ruotongsong 日期:2008-08-21
prototype.js是一个非常优雅的javascript基础类库,对javascript做了大量的扩展,而且很好的支持Ajax,国外有多个基于此类库实现的效果库,也做得很棒。
prototype.js不仅是一个有很大实用价值的js库,而且有很高的学习价值,所以我强烈建议B/S开发人员和对JS开发感兴趣的朋友去浏览一些它的源代码,其中有很多的珠玑,你绝对会觉得读它的源代码是一种享受,当然要读得懂,呵呵。
网上也有人写过1.3版的源码解读,大家可以找来看看。不过1.4版做了很大的扩充,所以希望有朋友写出1.4版的源码解读。
几点说明:
prototype.js是什么?
...
prototype.js不仅是一个有很大实用价值的js库,而且有很高的学习价值,所以我强烈建议B/S开发人员和对JS开发感兴趣的朋友去浏览一些它的源代码,其中有很多的珠玑,你绝对会觉得读它的源代码是一种享受,当然要读得懂,呵呵。
网上也有人写过1.3版的源码解读,大家可以找来看看。不过1.4版做了很大的扩充,所以希望有朋友写出1.4版的源码解读。
几点说明:
prototype.js是什么?
...
标签:
javascript弹出窗口详解
作者:ruotongsong 日期:2008-08-21
一、 弹出窗口的基本属性设置
--------------------------------------------------------------------------------
<SCRIPT LANGUAGE="javascript">
<!--
window.open ('page.html', 'newwindow', 'height=100, width=400, top=0, left=0, toolbar=no, menubar=no, scrollbars=no,resizable=no,location=no,...
--------------------------------------------------------------------------------
<SCRIPT LANGUAGE="javascript">
<!--
window.open ('page.html', 'newwindow', 'height=100, width=400, top=0, left=0, toolbar=no, menubar=no, scrollbars=no,resizable=no,location=no,...
标签:
js中模式窗口的应用
作者:ruotongsong 日期:2008-08-21
源码网站
作者:ruotongsong 日期:2008-08-18
http://www.diybl.com/ DIY俱乐
1.51源码:http://www.51aspx.com/
2.源码之家:http://www.codejia.com/
3.源码网:http://www.codepub.com/
4.虾客源码:http://www.xkxz.com/
5.多多源码:http://www.morecode.net/
6.洪越源代码:http://www.softhy.net/
7.锋网源码:http://www.fwvv.net/
8.代码爱好者:http://www.codefans....
1.51源码:http://www.51aspx.com/
2.源码之家:http://www.codejia.com/
3.源码网:http://www.codepub.com/
4.虾客源码:http://www.xkxz.com/
5.多多源码:http://www.morecode.net/
6.洪越源代码:http://www.softhy.net/
7.锋网源码:http://www.fwvv.net/
8.代码爱好者:http://www.codefans....
标签:
jsp/servlet中过滤器的应用
作者:ruotongsong 日期:2008-08-18
做企业级应用,可能会遇到这样一种情况,客户的文档(word等)保存在一个目录下,需要通过登录才能看到,但是这些又都是静态地址,所以能直接输入地址就可以访问到文档。这时就需要用到Filter过滤器了。
Servlet API的2.3版本的一个新功能就是能够为servlet和JSP页面定义过滤器。过滤器提供了某些早期服务器所支持的非标准“servlet链接”的一种功能强大且标准的替代品。
过滤器是一个程序,它先于与之相关的servlet或JSP页面运行在服务器上。过滤器可附加到一个或多个servlet或JSP页面上,并且可以检查进入这些资源的请求信息。在这之后,过滤器可以作如下的...
Servlet API的2.3版本的一个新功能就是能够为servlet和JSP页面定义过滤器。过滤器提供了某些早期服务器所支持的非标准“servlet链接”的一种功能强大且标准的替代品。
过滤器是一个程序,它先于与之相关的servlet或JSP页面运行在服务器上。过滤器可附加到一个或多个servlet或JSP页面上,并且可以检查进入这些资源的请求信息。在这之后,过滤器可以作如下的...
标签:
jsp防注入代码
作者:ruotongsong 日期:2008-08-18
sql_inj.java为一个改进的防注入bean,编译后将class文件放在tomcat的classes下的sql_inj目录中。
sql_inj.java代码:
====================================================================
package sql_inj;
import java.net.*;
import java.io.*;
import java.sql.*;
import java.text.*;
import java.lang.String;
public class s...
sql_inj.java代码:
====================================================================
package sql_inj;
import java.net.*;
import java.io.*;
import java.sql.*;
import java.text.*;
import java.lang.String;
public class s...
标签:
JSP参数过滤防注入的解决办法
作者:ruotongsong 日期:2008-08-18
首先注入的类型分为参数数字型注入,参数字浮型注入,搜索框注入三种。
防注入的方法
1)参数过滤。
2)sql语句添加参数用占位符。
1.Java代码
public static boolean sql_inj(String str)
{
String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
String inj_stra[] = split(inj_str,"|...
防注入的方法
1)参数过滤。
2)sql语句添加参数用占位符。
1.Java代码
public static boolean sql_inj(String str)
{
String inj_str = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
String inj_stra[] = split(inj_str,"|...
标签:
