- SQL注入漏洞全接触--入门篇(一)
- 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的
- 分类:应用软件
- SQL注入漏洞全接触--入门篇(二)
- 那么,什么样的测试方法才是比较准确呢?答案如下: ① http://www.19cn.com/showdetail.ASP?id=49 ② http://www.19cn.com/showdetail.ASP?id=49 and 1=1 ③ http://www.19cn.com/showdetail.ASP?id=49 and 1=2 这就是经典的1=1、1=2测试法了,怎么判断呢?看看上面三个网址返回的结果就知道了: 可以注入的表现: ① 正常
- 分类:应用软件
- SQL注入漏洞全接触--进阶篇(二)
- 我们举个例子,已知表Admin中存在username字段,首先,我们取第一条记录,测试长度: http://www.19cn.com/showdetail.ASP?id=49 and (select top 1 len(username) from Admin)>0 先说明原理:如果top 1的username长度大于0,则条件成立;接着就是>1、>2、>3这样测试下去,一直到条件不成立为止,比如>7成立,>8不成
- 分类:应用软件
- SQL注入漏洞全接触--进阶篇(一)
- 接下来,我们就继续学习如何从数据库中获取想要获得的内容,首先,我们先看看SQL注入的一般步骤: 第一节、SQL注入的一般步骤 首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。 其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种: (A) ID=49 这类注入的参数是数字型,S
- 分类:应用软件
- SQL注入漏洞全接触--高级篇(一)
- 看完入门篇和进阶篇后,稍加练习,破解一般的网站是没问题了。但如果碰到表名列名猜不到,或程序作者过滤了一些特殊字符,怎么提高注入的成功率?怎么样提高猜解效率?请大家接着往下看高级篇。 第一节、利用系统表注入SQLServer数据库 SQLServer是一个功能强大的数据库系统,与操作系统也有紧密的联系,这给开发者带来了很
- 分类:应用软件
- SQL注入漏洞全接触--高级篇(二)
- 第二节、绕过程序限制继续注入 在入门篇提到,有很多人喜欢用’号测试注入漏洞,所以也有很多人用过滤’号的方法来“防止”注入漏洞,这也许能挡住一些入门者的攻击,但对SQL注入比较熟悉的人,还是可以利用相关的函数,达到绕过程序限制的目的。 在“SQL注入的一般步骤”一节中,我所用的语句,都是经过我优化,让其
- 分类:应用软件
- SQL注入技术和跨站脚本攻击的检测(1)
- 1、概述 在这两年中,安全专家应该对网络应用层的攻击更加重视。因为无论你有多强壮的防火墙规则设置或者非常勤于补漏的修补机制,如果你的网络应用程序开发者没有遵循安全代码进行开发,攻击者将通过80端口进入你的系统。广泛被使用的两个主要攻击技术是SQL注入[ref1]和CSS[ref2]攻击。SQL注入是指:通过互联网的输入区域
- 分类:应用软件
- SQL注入技术和跨站脚本攻击的检测(2)
- 2.3 典型的 SQL 注入攻击的正则表达式 /\w*((\')|(\’))((\o)|o|(\O))((\r)|r|(\R))/ix 解释: \w* - 零个或多个字符或者下划线。 (\')|\’ - 单引号或它的hex等值。 (\%6 F)|o|(\%4 F))((\r)|r|-(\R) -‘or’的大小写以及它的hex等值。 union’SQL 查询在SQL注入各种数据库中攻击中同样是很常见的。如果前面的正则表达式仅
- 分类:应用软件
- tomcat mysql数据库的连接池配置
- 1)下载mm.mysql-2.0.14-bin.jar包,放在tomcat目录下的common/lib文件夹中2)在tomcat目录下的conf/server.XML中的/Host前加入(注意:全部大写的地方要替换成你自己的东西)!--for mysql database connection pool--Context path=/APPLICATION_NAME docBase=APPLICATIOIN_NAME debug=5 reloadable=true crossContext=true Logg
- 分类:应用软件
- Windows NT/2000操作系统认证方法
- remote_login_passwordfile: 说明: 指定操作系统或一个文件是否检查具有权限的用户的口令。如果设置为 NONE, Oracle 将忽略口令文件。如果设置为 EXCLUSIVE, 将使用数据库的口令文件对每个具有权限的用户进行验证。如果设置为 SHARED, 多个数据库将共享 SYS 和 INTERNAL 口令文件用户。 值范围:NONE | SHARED | EXCLUSIVE
- 分类:应用软件
- Win32平台下运行的Mysql的一些特点
- Win95和线程 Win95 为每个线程的创建损失大约200个字节的内存。因此,如果你进行许多连接,你不应该在Win95运行mysqld很长时间,因为 MySQL 的每个连接都创建一个新线程!WinNT和Win98不能容忍这个bug。 阻塞式读 (blocking read) MySQL 为每个连接使用一个阻塞式读取,这意味着: 一个连接将不在8个小时后自动被断开,就
- 分类:应用软件
- Win32版与Unix版MySQL比较
- MySQL- Win32现在已经证明了自己很稳定。这个版本得MySQL有与对应的Unix版本同样的特征,除了下面: Win95和线程 Win95 为每个线程的创建损失大约200个字节的内存。因此,如果你进行许多连接,你不应该在Win95运行mysqld很长时间,因为MySQL的每个连接都创建一个新线程!WinNT和Win98不能容忍这个bug。阻塞式读(blocking r
- 分类:应用软件
- WebLogic下配置MySql数据库的JDBC驱动
- WebLogic下配置MySql数据库的JDBC驱动 对于初学者来说,Weblogic的配置常让人摸不着头脑,其实应该是比较容易的。 比如对于Weblogic8.1可直接修改\bea\user_projects\domains\mydomain下的startweblogic.cmd 找到 “Set classpath=”,加入mysql.jar的路径,如: set CLASSPATH=C:\mysql.jar;%WEBLOGIC_CLASSPATH%;%POINTBA
- 分类:应用软件
- MYSQL完全安装使用指南
- mysql安装笔记 学习了很长时间的linux,有必要做一下整理笔记了,以下是mysql的安装笔记,和常见的一些使用方法。 因我喜欢调试优化系统,所以在编译安装时使用了一些选项增加编程后程序的执行效率,有些可能我理解有错,希望大家指出. ●安装mysql # tar zxvf mysql-4.0.14.tar.gz -C /setup # cd /setup/mysql-4.0.14 # group
- 分类:应用软件
- 安装MySQL
- 安装MySQL 假设你把所有必须的源码或者包都放在了/tmp下。如果你下载的是RPM包的话,那比较简单;如果你下载的是二进制包(你没有rpm程序或者你想自定义的话),那么会稍微麻烦一点。 RPM包安装 你必须成为root用户才能使用rpm安装程序,以下是安装过程:$ cd /tmp$ su# rpm -Uvh MySQL*(安装和MySQL相关的所有包)这将安装
- 分类:应用软件
- 查询数据的最大排序问题(只能用一条语句写)
- CREATE TABLE hard (qu char (11) ,co char (11) ,je numeric(3, 0)) insert into hard values ('A','1',3) insert into hard values ('A','2',4) insert into hard values ('A','4',2) insert into hard values ('A','6',9) insert into hard values ('B','1',4) insert into hard values ('B','2',5) insert into hard va
- 分类:应用软件
- 查询结果分页显示的sql语句
- 四种方法取表里n到m条纪录: 1. select top m * into 临时表(或表变量) from tablename order by columnname -- 将top m笔插入 set rowcount n select * from 表变量 order by columnname desc 2. select top n * from (select top m * from tablename order by columnname) a order by columnname desc 3.如果tablename里
- 分类:应用软件
- 查询分析器中开发代码测试检查
- 用VB写下载者最短代码孙燕姿版QQ空间背景皮肤代码QQ空间女生版导航代码中国地区三级联动下拉菜单代码和示例偷窥你的源代码:把swf还原成flaHough检测直线,圆,椭圆的部分代码VB中一个非常简单的截屏代码骑马与砍杀-物品代码 Mount middot;Viusal C .NET 2003 的优化代码QQ空间导航代码详解 如果您像我一样,则可能已经花费了
- 分类:应用软件
- 连接MySQl的JavaBean
- package mysql;import java.sql.*;public class MySqlCon{private String DbName = "";private String pass = "";private String url = "";private Connection con = null;private Statement stmt = null;private ResultSet rs = null;public MySqlCon(){}public void setDbName (String name){this.DbName = name;}public
- 分类:应用软件
- MySQL入门学习(5)
- --多表操作前面我们熟悉了数据库和数据库表的基本操作,现在我们再来看看如何操作多个表。在一个数据库中,可能存在多个表,这些表都是相互关联的。我们继续使用前面的例子。前面建立的表中包含了员工的一些基本信息,如姓名、性别、出生日期、出生地。我们再创建一个表,该表用于描述员工所发表的文章,内容包括作者姓名
- 分类:应用软件
- 如何设置MySQL同步(Replication)
- 作者:叶金荣(Email: imysql#gmail.com),来源:http://imysql.cn,转载请注明作者和出处,并且不能用于商业用途,违者必究。MySQL 提供了数据库的同步功能,这对我们实现数据库的冗灾、备份、恢复、负载均衡等都是有极大帮助的。本文描述了常见的同步设置方法。一、准备服务器由于MySQL不同版本之间的(二进制日志)binlog
- 分类:应用软件
- 对拥有一个几十万行表的MySQL性能优化的简单办法
- 数据库的优化大概是在系统管理中最具有挑战性的了,因为其对人员的素质要求几乎是全方面的,好的 DBA 需要各种综合素质。在排除了操作系统,应用等引起的性能问题以外,优化数据库最核心的实际上就是配置参数的调整。本文通过一个简单的参数调整,实现了对拥有一个几十万行表的 group by 优化的例子。通过这个简单的调整,
- 分类:应用软件
- 解决MySQL启动时万恶的的“1067”错误
- 作者fbysssmsn:[email protected] blog:blog.csdn.net/fbysss声明:本文由fbysss整理编写,转载请注明出处关键字:MySQL,1067错误 我的机器不知为何,安装MySQL的时候,一到配置那一步就无休止的等待,只好结束任务,然而启动MySQL的时候出现1067错误提示。卸载,依然出现无休止等待,解决办法是先结束任务,然后
- 分类:应用软件
- gcc批量建mysql库表
- 作 者: 陈景峰 file 1 my.c //-------------------------------------------------------- // MySQL Database Create 1/13/2001. Netkiller Chen //-------------------------------------------------------- #include stdio.h #include /root/mygcc/table.h main() { char host[16]; //mysql host address. char sid[15]
- 分类:应用软件
- MySQL一些重要的特征
- 1. 使用核心线程的完全多线程。这意味着它能很容易地利用多CPU(如果有)。 2. 支持C 、C 、 Eiffel 、 Java、 Perl、 PHP、Python、和 TCL API等客户工具和 API。 3. 可运行在不同操作系统平台上。 4. 支持多种列类型:1、 2、 3、4、和 8 字节长度的有符号/无符号整数、FLOAT、DOUBLE、CHAR、VARCHAR、TEXT、BLOB、DATE、
- 分类:应用软件
- MySQL数据库函数详解
- mysql_affected_rows([int link_id]); 在给定的连接中,返回由最近的DELETE、INSERT、REPLACE或者UPDATE语句所作用的行数。如果没有行 被修改,则mysql_affected_rows()返回0,如果出现错误,则返回-1。 在SELECT查询之后,mysql_affected_rows()返回所选择的行数。但一般是与SELECT语句一道使用 mysql_num_rows(). 使用范
- 分类:应用软件
- MySQL数据库存储引擎详解
- 存储引擎是什么? MySQL中的数据用各种不同的技术存储在文件(或者内存)中。这些技术中的每一种技术都使用不同的存储机制、索引技巧、锁定水平并且最终提供广泛的不同的功能和能力。通过选择不同的技术,你能够获得额外的速度或者功能,从而改善你的应用的整体功能。 例如,如果你在研究大量的临时数据,你也许需要使用内存
- 分类:应用软件
- MySQL数据导入导出方法与工具介绍
- 翻译声明 :本文内容来自Sams Teach Yourself MySQL in 21 Days一书的部分内容,by Mark Maslakowski 英文原文版权属原作者所有,中文的部分翻译有略有增删;原书讲的过于清楚的地方有删,讲的不清楚的地方有增;如果有翻译的不妥或者不正确的地方,请指正。 翻译者:David Euler,SCU. [email protected] 时间
- 分类:应用软件
- MySQL使用指南(一)
- 有很多朋友虽然安装好了mysql但却不知如何使用它。在这篇文章中我们就从连接MYSQL、修改密码、增加用户等方面来学习一些MYSQL的常用命令。 一、连接MYSQL。 格式: mysql -h主机地址 -u用户名 -p用户密码 1、例1:连接到本机上的MYSQL。 首先在打开DOS窗口,然后进入目录 mysqlbin,再键入命令mysql -uroot -p,回车后提示
- 分类:应用软件
- MySQL使用指南(二)
- 在上篇我们讲了登录、增加用户、密码更改等问题。下篇我们来看看MYSQL中有关数据库方面的操作。注意:你必须首先登录到MYSQL中,以下操作都是在MYSQL的提示符下进行的,而且每个命令以分号结束。 一、操作技巧 1、如果你打命令时,回车后发现忘记加分号,你无须重打一遍命令,只要打个分号回车就可以了。也就是说你可以把一
- 分类:应用软件