无风的港湾

最近我的网站经常把js脚本注入到数据，清除了又来。先后在网上找了很多的方法，还是没有用的，十分恼火。

首先先告诉大家一个批量清除代码的sql语句。

update 表名 set 字段=replace(字段,’script src=http://3b3.org/c.js>
1、分析那些无聊的人，或者有些病态的人究竟做了些什么 。

通过iis的日志或者microsoft urlscan 日志查看，在一些通过id查询数据库内容的时候后面被人加了一段很长的字符窜。

%%3B%%44%%65%%43%%4C%%61%%52%%45%%类似这样的字符窜，一定是其他的方式编码

首先我们先用工具分析下如此之长的字符窜究竟包含了些什么内容。

通过批量替换工具把%%全部替换成空，然后把得到的字符串通过其他的转码工具，转成字符窜。

;DeCLaRE @S NvArCHaR(4000);SeT @S=CaSt(0×45这里代码去掉了06F007200 aS NvArChAR(4000));ExEc(@S);–

就是一段与通过id查询数据库同时执行的sql，就给数据库某些表的字段加入了js病毒连接。

2、所以我们的原来的防sql注入的字符串就需要升级了。

如果过滤16进制

; 对应 3B

DeCLaRE 对应 4465434C615245

@ 对应 40

NvArCHaR 对应 4E76417243486152

set 对应 536554

CaSt 对应 43615374

as 对应 6153

exec 对应 45784563

- 对应 2D

把16进制的代码用|隔开放到injdata 里面

injdata = “3B|2D|’|;|and|exec|insert|select|delete%20from|update|count|”

然后自己测试下，程序是否拦击了这些16进制的代码，本人测试过是可以拦击的，如果不加入这些是不拦击的

照样可以注入到数据库。

标签Tags：ASP, js, sql, url, 人, 代码, 工具, 数据, 数据库, 方法, 服务器构建&安全, 程序, 类, 网站, 诫, 连接, 防注入

相关日志

• 基于JSON的高级AJAX开发技术 (0)
• 最令PHP初学者头痛的十四个问题 (0)
• 使用Ajax时的十个常犯的错误 (0)
• Rsync详解 (0)
• php的文档句法(heredoc)<<<和PHP字符串操作 (0)

一个用户的网站被挂马 很多以prn.开头的文件…这个文件其实是windows禁止建立的..但是可以在dos建立

所以在dos下用更改属性 结果不让改

然后想恢复权限 不让恢复 ，网站的跟目录被加了几个文件，怎么删也删不掉，

prn.gupiao.asp

prn.liuhe.asp

com1.shouji.asp

或是COM2，COM8等文件主，  

第一步：打开工具>文件夹选项>查看>有一项为”隐藏受保护的操作系统文件(推荐)”,去掉其前边的钩,选中”显示所有文件和文件夹”

第二步：建立一个del.bat的文件 把以下代码黏贴进去…

DEL /F /A /Q \\?\%1

RD /S /Q \\?\%1
然后要删那个文件就把那个文件拖进去即可….

但是又遇到问题了…有一个顽固的…PRN.asp;.jpg 拖进去也删不掉….

不过没问题 这个也可以删…先把这个文件的文件夹里的其他的文件备份…

然后把文件夹拖过去…^_^ 删了吧…

然后把备份的文件 拷回去 ok了

标签Tags：ASP, 代码, 属性, 工具, 操作系统, 服务器构建&安全, 系统, 网站, 隐藏

相关日志

• Rsync详解 (0)
• mysql优化及全文搜索 (0)
• ASP防注入新方式，希望对大家是有用的 (0)
• 游戏数值公式的表象与本质 (0)
• 深入探讨PHP中的内存管理问题 (0)

由于windows2003默认仅支持2个终端用户的登陆。当“终端连接超出了最大连接”的情况出现导致不能登录时，可以：

1、在另外一台Windows2003的机器上运行“tsmmc.msc”，打开远程桌面连接，添加一个新的连接，输入远程服务器的IP地址、远程登录帐号和密码，登录到远程服务器桌面。这个方式可以随时登录到远程桌面。

2、在登录出问题的服务器上， 单击“开始”，指向“管理工具”，然后单击“终端服务配置”。

3、 单击“服务器设置”，然后双击“授权模式”。

4、将“授权模式”更改为“每用户”，然后单击“确定”。 以后就不会出现此类问题了。

原因：Window Server 2003 不管理“用户 CAL”。这就是说，即使许可证服务器数据库中有一个“用户 CAL”，它在被使用时也不会减少。这样就不会为了让每个用户都有一个有效的终端服务器 (TS) CAL 而根据“最终用户许可协议”(EULA) 的要求删除管理员。在没有使用“设备 CAL”的情况下，如果不是每个用户都有一个“用户 CAL”，就会违反 EULA。

标签Tags：server, 密码, 工具, 数据, 数据库, 服务器构建&安全, 类, 解决, 连接

相关日志

• mysql优化及全文搜索 (0)
• Rsync详解 (0)
• 最令PHP初学者头痛的十四个问题 (0)
• 多服务器的用户身份认证方案 (0)
• PHP封装常用Javascript为JS类以便快速调用 (2)

1、什么是Rsync

Rsync（remote synchronize）是一个远程数据同步工具，可通过LAN/WAN快速同步多台主机间的文件。Rsync使用所谓的“Rsync算法”来使本地和远程两个主机之间的文件达到同步，这个算法只传送两个文件的不同部分，而不是每次都整份传送，因此速度相当快。

  (全文…)

标签Tags：ie, include, mod, path, server, web, 代码, 判断, 失败, 实例, 密码, 属性, 工具, 搜索, 数据, 方法, 更新, 服务器构建&安全, 源代码, 版本, 程序, 类, 系统, 网站, 表, 说明, 连接, 链接, 错误, 镜像, 隐藏

相关日志

• mysql优化及全文搜索 (0)
• 使用Ajax时的十个常犯的错误 (0)
• Webshell下破解计算机管理员密码 (0)
• 最令PHP初学者头痛的十四个问题 (0)
• Ajax的工作原理 (0)

eAccelerator和memcache，是目前较为主流的两个可使用在PHP之中的缓存加速工具．

eAccelerator专门为PHP开发，而memcache不仅仅用在PHP之中，其他所有的语言都可以使用．

　eAccelerator的主要功能：
   1. 缓存PHP文件的执行代码：在被缓存的代码再次被调用时，将直接从内存读取，从而在很大程度了PHP运行的速度．
   2. 提供了共享内存操作函数：用户可以将自己的常见非资源对像，保存到内存之中，并可以随时读取出来．

　memcache的主要功能：
　提供共享内存操作函数，可以保存和读取数据

　两者的共同点：
　共同点：都提供了共享内存操作函数，可以用来保存和读取自己的数据

　两者的区别：
　eAccelerator作为PHP的扩展库存在，那么仅在PHP运行时，可以操作和读写共享内存，一般情况，只能由操作共享内存的程序自己调用．
　同时，eAccelerator可以缓存PHP程序的执行代码，提升程序的调入和执行速度．
　memcache主要作为一个共享内存服务器，其PHP扩展库仅仅作为PHP到memcache的连接库存在，类似MySQL扩展库．因而，memcache可以完全脱离PHP，其共享的数据，可以被不同的程序调用．

　根据两者的不同，我们将他们使用在真真需要的地方：
　eAccelerator主要用于单机PHP提速，缓存中间数据．对于实时性高，但数据操作量小的情况下，非常实用．
　memcache用于分布式或者集群系统，多台服务器可以共享数据．对于实时性高，同时数据操作量大的情况下，非常实用．

标签Tags：cache, mysql, PHP, sql, 代码, 函数, 区别, 工具, 提速, 数据, 服务器构建&安全, 程序, 类, 系统, 连接

相关日志

• mysql优化及全文搜索 (0)
• php的文档句法(heredoc)<<<和PHP字符串操作 (0)
• PHP和Socket简介 (0)
• PHP中的Memcache函数库（Memcache Functions） (9)
• Rsync详解 (0)

现在 MMO 中经济系统往往是设计的关键。可能是网络游戏发展的时间较短，并没有形成系统的理论的缘故，我所了解的网络游戏中都没有特别好的处理好经济系统中货币的控制和流通问题。

我们知道，货币只是一种经济活动中一种媒介，货币本身是没有价值的。但是，网络游戏中却很难体现这一点。系统对游戏直接的货币投放是不可控制的，虽然很多设计人员企图控制，但只是收效不同而已。大体上，大家都是用玩家的在线时间换取系统货币总量的增加，而用玩家自身的修炼回收掉货币。还有一小部分是用上税和赌博的形式回收掉。

云风正在设计的游戏很不一样，是基于国家间的贸易和战争而不是个人修炼的。强调一种政府的管理，而非玩家自发组成的团体。我更希望做出一个战略感的游戏，而不是强调团体战术或者个人战斗。 (全文…)

标签Tags：人, 工具, 方法, 游戏, 游戏开发, 系统, 自身, 设计

相关日志

• 游戏数值公式的表象与本质 (0)
• 随机数有多随机？ (0)
• 游戏的帧率控制 (0)
• 游戏数值调整~ (0)
• 游戏中的货币 (0)

3d 游戏会用到大量的帖图，许多显卡要求贴图的尺寸必须是2的整数次方。这样，许多贴图的边角都会被浪费掉。尤其是大量无关的小贴图，我们通常想把他们合并在一张贴图上，尽量充满整个区域。

合并这些零碎贴图的算法，在学术上被称为排料问题。我尚未找到特别好的解决方法，所以这里就不展开写了。这里想讨论的是这些小贴图的管理。

我们现在的思路是，在engine 的比较上的层次，不用关心需要用的贴图在哪里，在哪张图片上的哪个区域。这样做，就不用局限于相关的图放在一张物理的图片上，可以由工具任意分割打包组合。固然，不相干的贴图过于零碎的逻辑贴图分散在不同的物理图片上，会降低效率。但这个问题就和内存分配器的实现中，内存碎片的问题一样，是不可避免但却可以有诸多方法来改善的。

其实 DirectX 本就充当了一个显存管理器的工作。我们做的只是在这种基于动态的管理模式上再加一层事前的开发期优化而已。

实现的方法很简单，用一个文本文件描述另一个图片文件的区域即可。engine 只需要把这个文件当作一个逻辑贴图打开解析。至于物理图片文件的管理，交给资源管理模块即可。

而这个文件的生成和管理，就得另写一个工具了。能写出优秀的图片自动组合工具固然好，如果没有也可以退而求其次，做一个可以给人像搭积木一样的拼图工具也可以。可以方便的让人来把零散的图片见缝插针的拼到一起，未尝不是一件趣事

标签Tags：人, 图片, 工具, 方法, 游戏, 游戏开发, 解决, 解决方法

相关日志

• 网络游戏的对时以及同步问题 (0)
• 网络游戏中的货币系统 (0)
• 游戏的帧率控制 (0)
• 游戏数值公式的表象与本质 (0)
• 游戏中的货币 (0)

拿魔兽世界（后面全简写作 wow ）举例说事，恐怕是唯一不容易遭人非议的了。我们注意到， wow 之前有很多网络游戏，甚至暴雪之前也有一款很接近现代网游的游戏—— diablo 的 battle net 版，都采用了一种让玩家展现个性化角色的设计。那就是随着升级，为角色自由分配属性点，再由属性点影响角色的能力。

我可以举出长长的例子证明这一点，甚至电脑 RPG 的鼻祖，D&D ，也是有自由加点的设定的。虽然 D&D 里玩家可以加的点很少，暴雪在 diablo 里加强了这个设计。

为什么在这么多已有的网游中，大家都沿袭了这个设定，把它作为提供玩家个性化的必要手段时，暴雪绝然抛弃了它，把个性化转移到了天赋系统中。是为了创新吗？我不是暴雪的游戏设计师，我没有答案。但我们知道，暴雪从来不是一个以创新为名的游戏制作公司。而天赋树从外观上看，就是 diablo 中技能树的延续。 (全文…)

标签Tags：人, 函数, 判断, 属性, 工具, 方法, 游戏, 游戏开发, 系统, 表, 设计, 软件, 错误

相关日志

• 随机数有多随机？ (0)
• 游戏的帧率控制 (0)
• 角色动作控制接口的设计 (0)
• Rsync详解 (0)
• 网络游戏中的货币系统 (0)

Array()
函数返回一个数组
表达式 Array(list)
允许数据类型: 字符，数字均可
实例： <%
Dim myArray()
For i = 1 to 7
Redim Preserve myArray(i)
myArray(i) = WeekdayName(i)
Next
%>
返回结果: 建立了一个包含7个元素的数组myArray
myArray("Sunday","Monday", … … "Saturday")

CInt()
函数将一个表达式转化为数字类型
表达式 CInt(expression)
允许数据类型: 任何有效的字符均可(不大于32767)
实例： <%
f = "234"
response.write cINT(f) + 2
%>
返回结果: 236
转化字符"234"为数字"234"，如果字符串为空，则返回0值

CreateObject()
函数建立和返回一个已注册的ACTIVEX组件的实例。
表达式 CreateObject(objName)
允许数据类型: objName 是任何一个有效、已注册的ACTIVEX组件的名字.
实例： <%
Set con = Server.CreateObject("ADODB.Connection")
%>
(全文…)

标签Tags：ASP, ASP, 工具, 常用函数, 新手, 表

相关日志

• 游戏数值公式的表象与本质 (0)
• 如何删除删不掉的”PRN.asp:.jpg” (0)
• Rsync详解 (0)
• ASP防注入新方式，希望对大家是有用的 (0)
• 随机数有多随机？ (0)