2011年1月10日

摘要: 前两天朋友的一个网站上有人利用php注入提交flash游戏分数,后来找原因才发现是有一位参数没有做数字判断导致。本来保存游戏分数是 game.php?ac=save&fgid=1这个形式来实现,在php网页里面fgid直接调用,没有做任何的过滤。很多人利用在fgid=1后面加一个字母(fgid=1a),来实现一些非法操作。假如gamlist table 里面有一个游戏fgid为102select gname from gamelist where fgid=’102′;select gname from gamelist where fgid=’102a’;这样都可以成功的找到游戏名字gnam 阅读全文
posted @ 2011-01-10 21:12 xujiajay 阅读(34785) 评论(2) 推荐(1) 编辑

2010年12月24日

摘要: 在建立与服务器的连接时出错。在连接到 SQL Server 2005 时,在默认的设置下 SQL Server 不允许进行远程连接可能会导致此失败。 (provider: 命名管道提供程序, error: 40 - 无法打开到 SQL Server 的连接 阅读全文
posted @ 2010-12-24 22:31 xujiajay 阅读(1549) 评论(0) 推荐(0) 编辑