leonardleonard

2007年3月22日

摘要：将SQLServer数据表驻留内存是SQLServer提供的一项功能，在一般小型系统的开发过程中估计很少会涉及到。这里整理了相关文档资料，演示如何把SQLServer中一个表的所有数据都放入内存中，实现内存数据库，提高实时性。1,DBCCPINTABLEMarksatabletobepinned,whichmeansMicrosoftSQLServerdoesnotflushthepagesforthetablefrommemory.SyntaxDBCCPINTABLE(database_id,table_id)TodeterminethedatabaseID,usetheDB_IDfunct 阅读全文

posted @ 2007-03-22 00:07 leonardleonard 阅读(182) 评论(0) 推荐(0) 编辑

修改SQL SERVER内置存储过程

摘要： SQLSERVER估计是为了安装或者其它方面，它内置了一批危险的存储过程。能读到注册表信息，能写入注册表信息，能读磁盘共享信息等等……各位看到这儿，心里可能会在想，我的网站中有其它的代码，又不像查询分析器那样能直接将结果输出。给你这个权限，也不能怎么样，还是看不到信息。如果各位这样想就大错特错了。提示一下，如果攻击者有CREATETABLE的权限，那么创建一个临时表，然后将信息INSERT到表中，然SELECT出来，接着跟数字进行比较，让SQLSERVER报错，那么结果就全出来了……所以我们要报着宁错杀，不放过的态度进行修补。　　　　先来列出危险的内置存储过程：　　　　xp_cmdshell　阅读全文

posted @ 2007-03-22 00:02 leonardleonard 阅读(168) 评论(0) 推荐(0) 编辑

Sql server 2005带来的分页便利

摘要： selectthreadidfrom(selectthreadid,ROW_NUMBER()OVER(orderbystickydate)asPosfromcs_threads)asTwhereT.Pos100000andT.Pos100030===========================================如果里面的这个表cs_threads数据量超大，比如，几亿条记录，那这个方法应该是有问题的因为，selectthreadidfrom(selectthreadid,ROW_NUMBER()OVER(orderbystickydate)asPosfromcs_thre 阅读全文

posted @ 2007-03-22 00:01 leonardleonard 阅读(108) 评论(0) 推荐(0) 编辑

2007年3月21日

SQLserver安全设置攻略

摘要：日前SQLINJECTION的攻击测试愈演愈烈，很多大型的网站和论坛都相继被注入。这些网站一般使用的多为SQLSERVER数据库，正因为如此，很多人开始怀疑SQLSERVER的安全性。其实SQLSERVER2000已经通过了美国政府的C2级安全认证-这是该行业所能拥有的最高认证级别，所以使用SQLSERVER还是相当的安全的。当然和ORCAL、DB2等还是有差距，但是SQLSERVER的易用性和广泛性还是能成为我们继续使用下去的理由。那怎么样才能使SQLSERVER的设置让人使用的放心呢？第一步肯定是打上SQLSERVER最新的安全补丁，现在补丁已经出到了SP3。下载地址：http://www 阅读全文

posted @ 2007-03-21 23:59 leonardleonard 阅读(402) 评论(0) 推荐(0) 编辑

不需xp_cmdshell支持在有注入漏洞的SQL服务器上运行CMD命令

摘要：我的BLOG里有一篇文章介绍了关于SQL注入的基本原理和一些方法。最让人感兴趣的也许就是前面介绍的利用扩展存储过程xp_cmdshell来运行操作系统的控制台命令。这种方法也非常的简单，只需使用下面的SQL语句：EXECmaster.dbo.xp_cmdshell'dirc:\'但是越来越多的数据库管理员已经意识到这个扩展存储过程的潜在危险，他们可能会将该存储过程的动态链接库xplog70.dll文件删除或改了名，这时侯许多人也许会放弃，因为我们无法运行任何的cmd命令，很难查看对方计算机的文件、目录、开启的服务，也无法添加NT用户。对此作过一番研究，后来我发现即使xp_cmdshell不可用阅读全文

posted @ 2007-03-21 23:58 leonardleonard 阅读(141) 评论(0) 推荐(0) 编辑

SQL Server 存储过程的分页方案比拼

摘要：建立表：CREATETABLE[TestTable]([ID][int]IDENTITY(1,1)NOTNULL,[FirstName][nvarchar](100)COLLATEChinese_PRC_CI_ASNULL,[LastName][nvarchar](100)COLLATEChinese_PRC_CI_ASNULL,[Country][nvarchar](50)COLLATEChinese_PRC_CI_ASNULL,[Note][nvarchar](2000)COLLATEChinese_PRC_CI_ASNULL)ON[PRIMARY]GO插入数据：(2万条，用更多的数据测试阅读全文

posted @ 2007-03-21 23:55 leonardleonard 阅读(123) 评论(0) 推荐(0) 编辑

单链表的定义以及使用

摘要：链表是一种有序的列表，它的内容通常存储与内容分散的位置上。一般链表的串联方式有两种：一种是通过数组有序串联链表的列表元素，通常用到两个数组，一个数组存放数据，一个数组存放链接的关系。这种链表的缺点在于，在插于或者删除元素的时候，要频繁的搬动元素，而且数组的大小是固定的，使用缺乏弹性。另一种则是动态内存配置的链表，它由许多的结点（Node）链接而成，每一个结点包含数据部分以及指向下一个结点的指针（引用）。我们常说的“链表”一般就是指第二种。.Net Framework里并没有加入链表的数据结构对象。所以我就自己动手实践了一下。偶尔看到韩睿的“.NET数据结构对象补遗之单链表”，我没有看他后面的代阅读全文

posted @ 2007-03-21 23:47 leonardleonard 阅读(356) 评论(0) 推荐(0) 编辑

HttpHand和HttpModule的详细解释，包括Asp.Net对Http请求的处理流程。

摘要：了解当用户对一个.aspx页面提出请求时，后台的Web服务器的动作流程。当对这个流程了解后，我们就会明白HttpHandler和HttpModule的作用了。首先，来了解一下IIS系统。它是一个程序，负责对网站的内容进行管理，以及对客户的请求（就是Http请求）做出反应。当用户对一个页面提出请求时，IIS做如下反应（忽略权限）：1.把对方请求的虚拟路径转换成物理路径2.根据物理路径搜索请求的文件3.找到文件后，获取文件的内容4.生成Http头信息。 PS：关于IIS和IE生成的Http头信息（元数据），可以用这个工具：http://www.blunck.info/iehttpheaders.h 阅读全文

posted @ 2007-03-21 23:47 leonardleonard 阅读(118) 评论(0) 推荐(0) 编辑

数组的进一步使用

摘要：数组是数据结构中最基本的结构形式，它是一种顺序式的结构，存储的是同一类型的数据。每个数组元素都拥有下标（index）和元素值（value），下标方便存取数据，而元素值就是被存储的数据。数组使用静态的内存空间配置方式。这也是数组的一个很不方便的地方，在经常需要重新分配数据的存储空间的应用上，往往使用数组就显得非常影响效率；而且，对数组的添加、删除、排序的操作也是比较麻烦以及低效的。在.net里提供了一种ArrayList的结构，在过去很长一段时间里，我经常会在需要使用集合对象的时候想到它（主要是受早先starter kits的影响），但是ArrayList还是由数组构成的，虽然它在添加元阅读全文

posted @ 2007-03-21 23:44 leonardleonard 阅读(167) 评论(0) 推荐(0) 编辑

按拼音模糊匹配查询条件的生成类

摘要：转载了好几个地方，很难确定最早的出处。将源码贴出来先。1usingSystem;2usingSystem.Text;3usingSystem.IO;45namespacets6{7classtest8{9privatestaticstring[]startChars={"啊","芭","擦","搭","蛾","发","噶","哈","击","击","喀","垃","妈","拿","哦","啪","期","然","撒","塌","挖","挖","挖","昔","压","匝"};10privatestaticstring[]endChars={"澳","怖","错","堕","贰","咐","过" 阅读全文

posted @ 2007-03-21 23:42 leonardleonard 阅读(151) 评论(0) 推荐(0) 编辑

公告