摘要: 如何防止 php sql 注入攻击?我认为最重要的一点,就是要对数据类型进行检查和转义。总结的几点规则如下: php.ini 中的 display_errors 选项,应该设为 display_errors = off。这样 php 脚本出错之后,不会在 web 页面输出错误,以免让攻击者分析出有作的信息。调用 mysql_query 等 mysql 函数时,前面应该加上 @,即 @mysql_query(...),这样 mysql 错误不会被输出。同理以免让攻击者分析出有用的信息。另外,有些程序员在做开发时,当 mysql_query出错时,习惯输出错误以及 sql 语句,例如: $t_st 阅读全文
posted @ 2011-09-16 09:35 广陵散仙(www.cnblogs.com/junzhongxu/) 阅读(459) 评论(2) 推荐(0) 编辑
摘要: 安全,PHP代码编写是一方面,PHP的配置更是非常关键。 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任何编辑工具打开 /etc/local/apache2/conf/php.ini,如果你是采用其他方式安装,配置文件可能不在该目录。 (1) 打开php的安全模式 php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php... 阅读全文
posted @ 2011-09-16 09:24 广陵散仙(www.cnblogs.com/junzhongxu/) 阅读(1036) 评论(0) 推荐(0) 编辑
摘要: 在 SQL 注入攻击 中,用户通过操纵表单或 GET 查询字符串,将信息添加到数据库查询中。例如,假设有一个简单的登录数据库。这个数据库中的每个记录都有一个用户名字段和一个密码字段。构建一个登录表单,让用户能够登录。清单 5. 简单的登录表单<html><head><title>Login</title></head><body><form action="verify.php" method="post"><p><label for='user 阅读全文
posted @ 2011-09-16 09:22 广陵散仙(www.cnblogs.com/junzhongxu/) 阅读(417) 评论(0) 推荐(0) 编辑
摘要: 一、HTTP码应码响应码由三位十进制数字组成,它们出现在由HTTP服务器发送的响应的第一行。响应码分五种类型,由它们的第一位数字表示:1.1xx:信息,请求收到,继续处理2.2xx:成功,行为被成功地接受、理解和采纳3.3xx:重定向,为了完成请求,必须进一步执行的动作4.4xx:客户端错误,请求包含语法错误或者请求无法实现5.5xx:服务器错误,服务器不能实现一种明显无效的请求下表显示每个响应码及其含义:所有HTTP状态代码及其定义。 代码指示2xx成功200正常;请求已完成。201正常;紧接POST命令。202正常;已接受用于处理,但处理尚未完成。203正常;部分信息—返回的信息只是一部分 阅读全文
posted @ 2011-09-14 15:14 广陵散仙(www.cnblogs.com/junzhongxu/) 阅读(428) 评论(0) 推荐(0) 编辑
摘要: 原文从http://blog.163.com/venus-yhj/blog/static/95688270200962991842582/转来。正在学习LR录制web登录脚本,十分有用,故转之。或许对其他初学者有些用处。本文中我将介绍LOADRUNNER对事务操作的几个函数,并通过一个例子,说明LOADRUNNER中事务是否成功是如何判断的,同时也介绍如何判断在脚本执行过程中脚本是否真实的执行成功。1.先问个问题,我们带着问题继续 录制一个登陆脚本,对登陆用户和密码进行参数化,使前2个用户名正确,第三个用户名错误,设置脚本迭代3次,分别使用第一个、第二个、第三个用户登陆,此时在脚本中对登陆的提 阅读全文
posted @ 2011-02-15 10:37 广陵散仙(www.cnblogs.com/junzhongxu/) 阅读(887) 评论(0) 推荐(0) 编辑
摘要: 1.LoadRunner录制脚本时为什么不弹出IE浏览器?   当一台主机上安装多个浏览器时, LoadRunner录制脚本经常遇到不能打开浏览器的情况,可以用下面的方法来解决。  启动浏览器,打开Internet选项对话框,切换到高级标签,去掉“启用第三方浏览器扩展(需要重启动)”的勾选,然后再次运行VuGen即可解决问题  提示:通常安装Firefox等浏览器后,都会勾选上面得选项,导致不能正常录制。因此建议运行LoadRunner得主机上保持一个干净的测试环境。  2.录制Web脚本时,生成的脚本中存在乱码该如何解决?  录制脚本前,打开录制选项配置对话框Reco 阅读全文
posted @ 2011-02-15 10:35 广陵散仙(www.cnblogs.com/junzhongxu/) 阅读(465) 评论(0) 推荐(1) 编辑
摘要: 在跟使用Loadrunner工具使用者交流的过程中,经常有人提到这个问题,基于HTML(HyperText Markup Language 超文本置标语言)模式录制与基于URL(Uniform Resource Locator的缩写,统一资源定位符,也被称为网页地址,是因特网上标准的资源的地址。)录制模式到底有什么不同?为什么通常情况下我们都会去选择使用URL模式去录制我们的业务脚本?所以在这里我把我知道的东西写出来跟同行分享和交流:   HTML是一种高级别的录制模式,这种模式是基于“浏览器”或者说是“内容敏感”的。这种录制选项是让浏览器去决定 阅读全文
posted @ 2011-02-15 10:34 广陵散仙(www.cnblogs.com/junzhongxu/) 阅读(438) 评论(0) 推荐(0) 编辑
摘要: 一般在客户端通过LoadRunner对服务器进行压力测试,都需要实时监控服务器端的系统资源,本篇主要简单介绍一下如何设置在LoadRunner的Controller中配置监控Windows Resources,其实也可以直接在远程连接服务器端在上面开启任务管理器或者在控制面板中找到性能计数器来监控也可以,但是为了在LR进行施压过程中更便捷,我们还是要学会这个基本的配置。关于此处的配置,需要针对不同的服务器操作系统进行不同的设置,但基本思路相同。本篇以Windows系统为例,具体配置如下:1、通过客户端与服务器进行网络测试,保证通信畅通2、开启服务器端Windows中的如下两个服务,如下图:3、 阅读全文
posted @ 2011-02-15 10:31 广陵散仙(www.cnblogs.com/junzhongxu/) 阅读(478) 评论(0) 推荐(0) 编辑
摘要: Memory: 内存使用情况可能是系统性能中最重要的因素。如果系统“页交换”频繁,说明内存不足。“页交换”是使用称为“页面”的单位,将固定大小的代码和数据块从 RAM 移动到磁盘的过程,其目的是为了释放内存空间。尽管某些页交换使 Windows 2000 能够使用比实际更多的内存,也是可以接受的,但频繁的页交换将降低系统性能。减少页交换将显著提高系统响应速度。要监视内存不足的状况,请从以下的对象计数器开始:Available Mbytes:可用物理内存数. 如果Available Mbytes的值很小(4 MB 或更小), 阅读全文
posted @ 2011-02-15 10:30 广陵散仙(www.cnblogs.com/junzhongxu/) 阅读(462) 评论(0) 推荐(0) 编辑
摘要: 今天,我先把我整理的一些计数器及其阈值要求等贴出来,这些计数器是针对我对windows操作系统,C/S结构的sql server数据库及WEB平台.net产品测试时的一些计数器;大家可以继续补充,作过unix平台上oracle数据库测试及J2EE架构及WEBLOGIC方面测试的朋友,也希望把自己使用的计数器贴出来,让大家分享。 好了,先说这些了,希望通过这个专题,最终能让大家对自己的测试结果进行分析。 Memory: 内存使用情况可能是系统性能中最重要的因素。如果系统“页交换”频繁,说明内存不足。“页交换”是使用称为“页面&# 阅读全文
posted @ 2011-02-15 10:29 广陵散仙(www.cnblogs.com/junzhongxu/) 阅读(486) 评论(0) 推荐(0) 编辑
摘要: 判断瓶颈Ø 判断应用程序的问题  如果系统由于应用程序代码效率低下或者系统结构设计有缺陷而导致大量的上下文切换(context switches/sec显示的上下文切换次数太高)那么就会占用大量的系统资源,如果系统的吞吐量降低并且CPU的使用率很高,并且此现象发生时切换水平在15000以上,那么意味着上下文切换次数过高.  从图的整体看.context switches/sec变化不大,throughout曲线的斜率较高,并且此时的contextswitches/sec已经超过了15000.程序还是需要进一步优化.Ø 判断CPU瓶颈如果processor queue len 阅读全文
posted @ 2011-02-15 10:28 广陵散仙(www.cnblogs.com/junzhongxu/) 阅读(810) 评论(0) 推荐(0) 编辑
摘要: 监测对象Ø System(系统)l %Total Processor Time系统中所有处理器都处于繁忙状态的时间百分比,对于多处理器系统来说,该值可以反映所有处理器的平均繁忙状态,该值为100%,如果有一半的处理器为繁忙状态,该值为50%服务器。器消耗的处理器时间数量.如果服务器专用于sql server可接受的最大上限是80% -85 %.也就是常见的CPU 使用率.l File Data Operations/sec计算机对文件系统进行读取和写入操作的频率,但是不包括文件控制操作l Process Queue Length线程在等待分配CPU资源所排队列的长度,此长度不包括正在 阅读全文
posted @ 2011-02-15 10:27 广陵散仙(www.cnblogs.com/junzhongxu/) 阅读(977) 评论(0) 推荐(0) 编辑
摘要: 自从9月份在同事推荐下在某团购网买了一份火锅的套餐后,就迷上了,几乎每天必去浏览一遍,看看有什么又便宜又好吃的。元旦期间当然也不例外,1号那天上午,看到了XXX团购网的“VIP会员0元领红包”活动,0元?我最喜欢了,虽然参与过很多次0元抽奖的活动,一次也没中,但是人总是有一种信念相信自己的运气的。于是果断进去注册,点击购买,进入了购物车再点击确认订单,恩?怎么alert这么一句“本活动只限VIP会员参与”?我第一反应是去看页面源代码(由于该活动已经结束,进不去购买页面了,所以在这里我只好用伪代码来表示):[代码]然后我在地址栏敲入:javascript:form1.submit(); 回车! 阅读全文
posted @ 2011-01-04 11:17 广陵散仙(www.cnblogs.com/junzhongxu/) 阅读(284) 评论(0) 推荐(0) 编辑
摘要: Fiddler本身是用来做web debugging的工具。其具体的介绍和更多的使用方法请参考知识库中以下文章: Fiddler---Web调试代理工具 在线调试JavaScript和CSS 本文将详细介绍如何通过fiddler2录制http操作请求的脚本。 为了只保留操作过程中的关键请求数据,我们需要自定义fiddler的过滤项。 完整的录制步骤如下: 打开fiddler2,此时后台会启动一个代... 阅读全文
posted @ 2010-11-30 10:15 广陵散仙(www.cnblogs.com/junzhongxu/) 阅读(558) 评论(0) 推荐(1) 编辑
摘要: 从一个笑话看软件开发管理(转)http://www.itpub.net/697306.html1. 程序员写出自认为没有Bug的代码。2. 软件测试,发现了20个Bug。3. 程序员修改了10个Bug,并告诉测试组另外10个不是Bug。4. 测试组发现其中5个改动根本无法工作,同时又发现了15个新Bug。5. 重复3次步骤3和步骤4。6. 鉴于市场方面的压力,为了配合当初制定的过分乐观的发布时间表... 阅读全文
posted @ 2010-08-19 14:59 广陵散仙(www.cnblogs.com/junzhongxu/) 阅读(365) 评论(0) 推荐(0) 编辑