2010年07月28日
by 江小邪
74 Views
0 comments
最近我的网站经常把js脚本注入到数据,清除了又来。先后在网上找了很多的方法,还是没有用的,十分恼火。
首先先告诉大家一个批量清除代码的sql语句。
update 表名 set 字段=replace(字段,’script src=http://3b3.org/c.js>
1、分析那些无聊的人,或者有些病态的人究竟做了些什么 。
通过iis的日志或者microsoft urlscan 日志查看,在一些通过id查询数据库内容的时候后面被人加了一段很长的字符窜。
%%3B%%44%%65%%43%%4C%%61%%52%%45%%类似这样的字符窜,一定是其他的方式编码
首先我们先用工具分析下如此之长的字符窜究竟包含了些什么内容。
通过批量替换工具把%%全部替换成空,然后把得到的字符串通过其他的转码工具,转成字符窜。
;DeCLaRE @S NvArCHaR(4000);SeT @S=CaSt(0×45这里代码去掉了06F007200 aS NvArChAR(4000));ExEc(@S);–
就是一段与通过id查询数据库同时执行的sql,就给数据库某些表的字段加入了js病毒连接。
2、所以我们的原来的防sql注入的字符串就需要升级了。
如果过滤16进制
; 对应 3B
DeCLaRE 对应 4465434C615245
@ 对应 40
NvArCHaR 对应 4E76417243486152
set 对应 536554
CaSt 对应 43615374
as 对应 6153
exec 对应 45784563
- 对应 2D
把16进制的代码用|隔开放到injdata 里面
injdata = “3B|2D|’|;|and|exec|insert|select|delete%20from|update|count|”
然后自己测试下,程序是否拦击了这些16进制的代码,本人测试过是可以拦击的,如果不加入这些是不拦击的
照样可以注入到数据库。
标签Tags:
ASP,
js,
sql,
url,
人,
代码,
工具,
数据,
数据库,
方法,
服务器构建&安全,
程序,
类,
网站,
诫,
连接,
防注入
相关日志
服务器构建&安全
2010年07月28日
by 江小邪
79 Views
0 comments
由于windows2003默认仅支持2个终端用户的登陆。当“终端连接超出了最大连接”的情况出现导致不能登录时,可以:
1、在另外一台Windows2003的机器上运行“tsmmc.msc”,打开远程桌面连接,添加一个新的连接,输入远程服务器的IP地址、远程登录帐号和密码,登录到远程服务器桌面。这个方式可以随时登录到远程桌面。
2、在登录出问题的服务器上, 单击“开始”,指向“管理工具”,然后单击“终端服务配置”。
3、 单击“服务器设置”,然后双击“授权模式”。
4、将“授权模式”更改为“每用户”,然后单击“确定”。 以后就不会出现此类问题了。
原因:Window Server 2003 不管理“用户 CAL”。这就是说,即使许可证服务器数据库中有一个“用户 CAL”,它在被使用时也不会减少。这样就不会为了让每个用户都有一个有效的终端服务器 (TS) CAL 而根据“最终用户许可协议”(EULA) 的要求删除管理员。在没有使用“设备 CAL”的情况下,如果不是每个用户都有一个“用户 CAL”,就会违反 EULA。
标签Tags:
server,
密码,
工具,
数据,
数据库,
服务器构建&安全,
类,
解决,
连接
相关日志
服务器构建&安全
2010年07月28日
by 江小邪
77 Views
0 comments
fhod 邪恶八进制
帝国备份王(Empirebak)简介
EmpireBak是一款完全免费、专门为Mysql大数据的备份与导入而设计的软件,系统采用分卷备份与导入,理论上可备份任何大小的数据库.
可在 http://www.phome.net/ebak2008os/ 下载到
默认账号密码为
admin 123456
登陆后先备份一次数据
备份时可选择备份到的目录。。默认有个safemod
当然也可以是别的..这里以safemod来说了
备份完毕后来到
管理备份目录
打包并下载
把开始备份到的数据可以先下回分析..当然数据库比较大的话可以省略这一步..因为我之前下载已经分析完毕了
(全文…)
标签Tags:
2008,
html,
ie,
mod,
mysql,
PHP,
sql,
web,
webs,
密码,
成功,
数据,
数据库,
服务器构建&安全,
系统,
设计,
诫,
软件
相关日志
服务器构建&安全
2010年07月26日
by 江小邪
76 Views
0 comments
(全文…)
标签Tags:
apache2,
code,
iis6.0,
include,
mysql,
path,
PHP,
PHP,
php.ini,
server,
session,
sql,
url,
web,
上传,
中文,
兼容,
初学者,
区别,
失败,
密码,
应用程序,
数据,
数据库,
方法,
版本,
程序,
网站,
网络编程,
解决,
解决方法,
设计,
诫,
邮件,
错误,
页面,
验证
相关日志
PHP, 网络编程
2010年07月26日
by 江小邪
79 Views
0 comments
不多说了,看代码。自己体会
<?php
echo “濙水河边的PHP演示”;
echo “<br>”;
$db=mysql_connect(“localhost”,”root”,”123456″);
mysql_select_db(“jaycee”,$db);
$rs=mysql_query(“select * from gbook”,$db);
while($row=mysql_fetch_row($rs))
{
echo <<< eod
<table width=”99%” border=”1″ cellspacing=”0″ cellpadding=”0″>
<tr>
<td>$row[0]</td>
<td>$row[1]</td>
</tr>
<tr>
<td>$row[2]</td>
<td>$row[3]</td>
</tr>
</table>
eod;
}
?>
<<<也就是可以让我们在PHP代码内实现一大段的HTML代码,并且可以在其中,使用PHP变量。
淡水河边这厮,找到许多PHP入门呀,php起步呀==的书,从没提到用到这个。郁闷,用不到么?
居然不提。愤怒! (全文…)
标签Tags:
html,
mysql,
PHP,
PHP,
sql,
代码,
函数,
区别,
常用,
数据,
数据库,
方法,
浏览器,
类,
网络编程,
诫,
连接
相关日志
PHP, 网络编程
2010年07月26日
by 江小邪
83 Views
0 comments
PHP实现对文本数据库的数据显示、加入、修改、删除、查询五大基本操作的方法
我用一个留言本程序作为例子,阐述PHP实现对文本数据库的数据显示、加入、修改、删除、查询五大基本操作的方法。
此文本数据库共有字段10个:客户IP、发言时间、客户名、客户EMAIL、客户主页地址、留言表情图片名、客户QQ、客户形象图片、留言内容、管理员回复内容。
1、加入数据程序段。
$date=date(“Y-m-d H:i:s”);//取得系统时间
$ip = $HTTP_SERVER_VARS[REMOTE_ADDR]; //取得发言的IP地址
$text=encode($gb_text);//去掉留言内容后面的空格.
$fp=fopen(“gb.dat”,”a”);//以只写模式打开gb.dat文本文件,文件指针指向文件尾部.
$str=$ip.” ”.$date.” ”.$gb_name.” ”.$gb_email.” ”.$gb_home.” ”.$face.” ”.$gb_qq.” ”.$head.” ”.$text.” ”.$reply.”\n”;//将所有留言的数据赋予变量$str,” ”的目的是用来今后作数据分割时的数据间隔符号。
fwrite($fp,$str);//将数据写入文件
fclose($fp);//关闭文件
showmessage(“留言成功!”,”index.php”,”3″);//留言成功,3秒后自动返回主界面。
其中的$gb_name 、$gb_email、$gb_home、$face、$gb_qq、$head、$gb_text、$reply是由发言表单传过来的数据。
(全文…)
标签Tags:
code,
PHP,
PHP,
server,
判断,
图片,
成功,
搜索,
数据,
数据库,
方法,
程序,
类,
系统,
网络编程,
获取,
表单,
诫,
连接,
页面
相关日志
PHP, 网络编程
2010年07月26日
by 江小邪
64 Views
0 comments
上个月我发现许多Web2.0网站大量运用了ajax,但是其中有些很奇怪,因为他们的速度比起前慢了,并且有时候不起作用(在移动设备上),我总结了十条用Ajax的错误(平台无关)
1、 不要通过把整个页面都放在UpdatePanel中更新整个页面。在你运行网页时需要节省时间,不要更新那些可以用javascript and DHTML (DOM)的部分。
2、 要始终记得有这么几种访问者,他们不能用JavaScript或者用的版本比较老的浏览器或者他们对JavaScript支持不好,比如说移动设备。如果这些都不支持,你的访问者能看到什么?
3、 在客户端浏览器缓存相同的请求或者在we服务器端执行缓存。最好的例子是自动完成个下拉菜单,他们的填充在任何时刻都是相同的,一个有错误写法的自动完成的写法可以减慢你的Web服务器(数据库服务器),因为那样会有比起以前用IsPostBack更多地请求。想一下不停的按F5刷新你的网页的情形。如果你有层叠的下拉菜单你就会结算更多地请求。
4、 在你运用CSS或JavaScript时,不要运行,并发的或者运行很长时间的Ajax请求,一般的浏览器只能有两个并发的http连接(我知道可以给变这个,但是默认的还是设为两个)。如果在读取图片的时候由很多Ajax请求的话,速度会变得很慢。
5、 什么时候都用异步调用的方法发送XMLHttpRequest.。如果你要用同步的方法也是没有请问题的,你的浏览器不会因为网络问题或是连接速度慢而冻结的
6、 试着让你的web应用使用一个很慢的网络连接,再尝试用快的TCP/IP连接
7、 你的web应用是作为桌面程序的替代品?你注意观察过一般浏览器在运行你的Web应用一小时,两小时或者几天时内存的使用。不是所有人都有你那样好的机器。
8、 检查在你返回XMLHttpRequest时你的http请求状态代码(status code),那会有一些常见的网络错误像是不可获得的DNS,Http Server error 500 ,你曾经检查过状态代码(status code),它可以告诉你浏览器在一个为连接的模式
9、 试着禁止XMLHttpRequest object!用IE7你能用native object代替ActiveX object,但是你也可以禁止native object。
10、检查你AJAX requests的安全性!你简单的打开了你的数据访问层吗?充分运用FormsAuthentication和PrincipalPermissions。是不是任何人都可以建立一个请求(不只是点击一个链接)?
标签Tags:
ajax,
code,
css,
dhtml,
html,
http请求状态,
ie,
javascript,
JavaScript&Ajax,
server,
status,
web,
web2.0,
xml,
xmlhttp,
人,
代码,
图片,
数据,
数据库,
方法,
更新,
浏览器,
版本,
程序,
网站,
网络编程,
连接,
链接,
错误,
页面
相关日志
JavaScript&Ajax, 网络编程
2010年07月26日
by 江小邪
68 Views
0 comments
一、 引言
毫无疑问,AJAX已经成为当今Web开发中一种强有力的用户交互技术,但是它的许多可能性应用仍然鲜为人知。在本文中,我们将来共同探讨如何使用JavaScript对象标志(JSON)和JSON分析器在服务器和客户端AJAX引擎之间创建复杂而强有力的JSON数据传输层。我们将详细讨论如何创建一组对象(在其它语言中经常被当作一个包),如何把这些对象串行化为JSON以发送到服务器端,以及如何把服务器端JSON反串行化为客户端JavaScript对象。
提示:你可以在Douglas Crockford的网站上找到本文中使用的JSON分析器。
在继续阅读前,本文假定你已经掌握了JavaScript技术并且了解如何创建一个基本的AJAX引擎,并经由AJAX技术向服务器端发出请求和从服务器端接收响应。为了更好地理解本文中示例,你需要下载本文相应的源码文件。 (全文…)
标签Tags:
ajax,
div,
html,
javascript,
js,
mod,
PHP,
url,
web,
xml,
人,
代码,
分离,
对象,
属性,
应用程序,
数据,
数据库,
方法,
浏览器,
程序,
类,
网站,
网络编程,
自身,
诫,
链接,
面向对象
相关日志
PHP, 网络编程
2010年05月23日
by 江小邪
170 Views
2 comments
<?php
# $Id: js.class.php,v 0.1 p $
// 禁止直接访问该页面
if (basename($HTTP_SERVER_VARS['PHP_SELF']) == "js.class.php") {
header("HTTP/1.0 404 Not Found");
}
# Purpose 封装了一些常用的Javascript代码,以便在PHP中快速调用
class JS{
function JS(){}
#返回上页
# @param $step 返回的层数 默认为1
function Back($step = -1){
$msg = "history.go(".$step.");";
JS::_Write($msg);
JS::FreeResource();
exit;
}
# 弹出警告的窗口
# @param $msg 警告信息
function Alert($msg){
$msg = "alert(\"".$msg."\");";
JS::_Write($msg);
}
# 写js
# @param $msg
function _Write($msg) {
echo "<script language=\"javascript\">\n";
echo $msg;
echo "\n</SCRIPT>";
}
# 刷新当前页
function Reload(){
$msg = "location.reload();";
JS::FreeResource();
JS::_Write($msg);
exit;
}
#刷新弹出父页
function ReloadOpener(){
$msg = "if (opener) opener.location.reload();";
JS::_Write($msg);
}
#跳转到url
#@param $url 目标页
function Goto($url){
$msg = "location.href = ‘$url’;";
JS::FreeResource();
JS::_Write($msg);
exit;
}
#关闭窗口
function Close(){
$msg = "window.close()";
JS::FreeResource();
JS::_Write($msg);
exit;
}
#提交表单
#@param $frm 表单名
function Submit($frm){
$msg = $frm.".submit();";
JS::_Write($msg);
}
#关闭数据库连接
function FreeResource(){
// 数据库连接标志
global $conn;
if (is_resource($conn))
@mysql_close($conn);
}
}
?>
标签Tags:
class,
javascript,
JavaScript&Ajax,
js,
mysql,
PHP,
PHP,
server,
sql,
url,
代码,
常用,
提交表单,
数据,
数据库,
类,
网络编程,
表,
表单,
连接,
页面
相关日志
JavaScript&Ajax, PHP, 网络编程
2010年05月23日
by 江小邪
143 Views
0 comments
mysql my.cnf文件常见优化模块
[mysqld]
port = 3306
server-id = 1
socket = /tmp/mysql.sock
# 避免MySQL的外部锁定,减少出错几率增强稳定性。
skip-locking
# 禁止MySQL对外部连接进行DNS解析
skip-name-resolve
# 指定MySQL可能的连接数量
back_log = 256
(全文…)
标签Tags:
cache,
div,
ie,
mod,
mysql,
path,
PHP,
server,
session,
sql,
人,
代码,
兼容,
函数,
含义,
密码,
属性,
引入,
成功,
搜索,
操作系统,
数据,
数据库,
最快,
服务器构建&安全,
版本,
程序,
类,
系统,
表,
解决,
连接,
错误,
镜像,
页面
相关日志
服务器构建&安全