05 2013 档案

摘要：好奇是学习的源动力：因为在群里潜水看到关注sql注入的讨论，尝试在自己程序的搜索框输入单引号，程序报错，开始尝试修改为参数化查询，噩梦开始了。。搬出了毕业时写的DBHelper（很早写的使用参数化查询的操作类），替换掉程序中为了方便精简（姑且这么说吧）的DBHelper。开始安装平常的逻辑拼接：sql += " where t.realName like '%?realName%'";//失败了，无论如何都查不出来数据。失败原因：据说是因为'' 引号包裹了？realName，程序认为这是个字符串，不是关键字，不进行解析了。此后我又试了类似这样 阅读全文

摘要：转载自：http://hi.baidu.com/v71000/item/019d9b234651b91d087508e2查了半天，原来是IIS7下的默认设置限制了上传大小。这个时候Web.Config中的大小设置也就失效了。具体步骤：1、打开IIS管理器，找到Default Web Site。先进行停止。2、在IIS中双击“请求筛选”打开。3、点击右边的“编辑功能设置”，打开“编辑请求筛选设置”对话框。 其中的允许的最大容量长度，默认是”30000000“，30M，将其修改为你所需要的大小即可。4、启动IIS. 阅读全文