05 2013 档案

摘要:好奇是学习的源动力:因为在群里潜水看到关注sql注入的讨论,尝试在自己程序的搜索框输入单引号,程序报错,开始尝试修改为参数化查询,噩梦开始了。。搬出了毕业时写的DBHelper(很早写的使用参数化查询的操作类),替换掉程序中为了方便精简(姑且这么说吧)的DBHelper。开始安装平常的逻辑拼接:sql += " where t.realName like '%?realName%'";//失败了,无论如何都查不出来数据。失败原因:据说是因为'' 引号包裹了?realName,程序认为这是个字符串,不是关键字,不进行解析了。此后我又试了类似这样 阅读全文
posted @ 2013-05-23 13:12 new_StringBuffer 阅读(7808) 评论(0) 推荐(0) 编辑
摘要:转载自:http://hi.baidu.com/v71000/item/019d9b234651b91d087508e2查了半天,原来是IIS7下的默认设置限制了上传大小。这个时候Web.Config中的大小设置也就失效了。具体步骤:1、打开IIS管理器,找到Default Web Site。先进行停止。2、在IIS中双击“请求筛选”打开。3、点击右边的“编辑功能设置”,打开“编辑请求筛选设置”对话框。 其中的允许的最大容量长度,默认是”30000000“,30M,将其修改为你所需要的大小即可。4、启动IIS. 阅读全文
posted @ 2013-05-13 14:02 new_StringBuffer 阅读(238) 评论(0) 推荐(0) 编辑