关于防止sql注入的几种手段(三)
摘要:上一篇引起不少争议,也是自己没有一次性写完。上回说到邹健大哥的存储过程有漏洞, 有人又提出这个很多都是程序员加上去的,压根就不可能注入,的确,有很多拼凑sql的时候是程序里面加上去的,不是来自外界的“直接”输入。我上次的演示例子是基于的最后的排序,那如果要是在where 条件里面呢?能保证100%都不是来自外界的输入吗?另外,软件的分层开发,很多程序员的水平参差不齐,能保证...
阅读全文
posted @
2009-11-25 10:29
Keep Walking
阅读(6250)
推荐(3) 编辑
关于防止sql注入的几种手段(二)
摘要:其实特别不愿意说sql注入的问题,因为这的确是个老掉牙的问题了,但是仍然还有不少人在这方面自以为安全性做得很到位,或者说万事只要存储过程就可以防止注入,即全都参数化,这样对于某些复杂逻辑来说,sql存储过程写法太过于冗长,不如在C#拼凑sql,也有很多人鄙视拼凑sql的人,我觉得,看待 sql注入这个问题,应该是从本质上来杜绝注入,而不是想当然的依靠存储过程,拒绝拼凑sql。我说一下我自己的经验吧
阅读全文
posted @
2009-11-24 21:07
Keep Walking
阅读(4736)
推荐(4) 编辑
关于防止sql注入的几种手段(一)
摘要:其实特别不愿意说sql注入的问题,因为这的确是个老掉牙的问题了,但是仍然还有不少人在这方面自以为安全性做得很到位,或者说万事只要存储过程就可以防止注入,即全都参数化,这样对于某些复杂逻辑来说,sql存储过程写法太过于冗长,不如在C#拼凑sql,也有很多人鄙视拼凑sql的人,我觉得,看待sql注入这个问题,应该是从本质上来杜绝注入,而不是想当然的依靠存储过程,拒绝拼凑sql。我说一下我自己的经验吧一...
阅读全文
posted @
2009-11-24 14:05
Keep Walking
阅读(2627)
推荐(0) 编辑
网站三月均排名10000,纪念一下
摘要:网站近期飙升的很是厉害,虽然跟alexa调整有关,但是心里还是很窃喜,今天三月排名10900,日排名最高到5000,国内排名725。加上近期要对网站实施文章seo优化,我想年内冲到4000+,三月均到10000以内应该不是问题。2月12号,3670,三月均561712月4号,3335名,三月均8500 12月28号,三月均680010年1月22号 三月均跨入6000以内 10年2月2号 三月均5800,单日排名3788 10年3月5号 单日排名280011年1月14号,单日排名3376
阅读全文
posted @
2009-11-19 09:22
Keep Walking
阅读(1049)
推荐(0) 编辑
猜猜看这个答案是多少
摘要:DECLARE @A1 varchar(10), @A2 varchar(12)SET @A2 = '12345678912'SELECT ISNULL(@A1, @A2)这个结果是多少呢?
阅读全文
posted @
2009-11-03 21:15
Keep Walking
阅读(1139)
推荐(0) 编辑
