摘要： 0x00 简介利用SQL注入获取数据库数据，利用的方法可以大致分为联合查询、报错、布尔盲注以及延时注入，通常这些方法都是基于select查询语句中的SQL注射点来实现的。那么，当我们发现了一个基于insert、update、delete语句的注射点时（比如有的网站会记录用户浏览记录，包括refere... 阅读全文

摘要： 默认存在的数据库：mysql需要root权限读取information_schema在5以上的版本中存在测试是否存在注入方法假：表示查询是错误的 (MySQL 报错/返回页面与原来不同)真：表示查询是正常的 (返回页面与原来相同)共三种情况：字符串类型查询时：数字类型查询时：登陆时：'假''真"假"... 阅读全文

摘要： 一个将数据显示在grid中主要的原因是为了快速容易的编辑它，jqGrid支持3种编辑方法jqGrid单元格编辑配置，事件及方法:：编辑表格中的单元格jqGrid行编辑配置：同时编辑一行中的多个单元格jqGrid表单编辑配置：在grid外部的表单中编辑数据行安装在下载管理中每个模块有它自己的要求，但是... 阅读全文

摘要： 下表列出了jqGrid中的预定义格式化类型所有预定义类型和编辑模式兼容，就是说数字，链接和email等需要转换，才能使他们被正确编辑类型选项（默认值参考语言选项）描述integerthousandsSeparator,defaulValuethousandsSeparator：指定千位分隔符号def... 阅读全文

摘要： 在一次Web渗透测试中，目标是M国的一个Win+Apache+PHP+MYSQL的网站，独立服务器，对外仅开80端口，网站前端的业务系统比较简单，经过几天的测试也没有找到漏洞，甚至连XSS都没有发现，也未找到网站后台，在收集信息的时候已经排除了C段入侵的可行性（选择C段入侵的时候，需要对目标、网络、路由和国家区域进行分析和判断，如果不经思考和判断地去入侵C段服务器，当你费尽心思拿到某台服务器权限时，往往发现毫无半点用处，特别又是在国外，ARP基本上都没什么希望，当然内网渗透中又是另一回事。） 也许在渗透测试遇到这种情况时大多会选择放弃，在绝望的时候，我将目标临时转移到该网站域名注册商，因... 阅读全文

摘要： 而关于php的也有，但是大多都是用phpExcel导出的方法或者spreadsheet等类或者控件之类的导出方法，而我所在维护的系统却用很简单的方法，如下,网上很少有讲如何设置要导出数据的EXcel格式。我导出EXcel的主要代码的前面部分：40000){$filename_type='csv';}else{$filename_type='xls';}header("Content-Type: application/vnd.ms-excel");Header("Accept-Ranges:bytes");Header(& 阅读全文

摘要： 懂PHP的人一般都懂MySQL这一点不假，大多数书籍里也是这样，书中前面讲PHP后面到数据库这块就会讲到MySQL的一些知识，前几年MySQL一直是PHP书籍的一部分，后来开始从国外翻译了一些专门讲述MySQL的书籍。但大多数还是不如MySQL手册里讲的精细。目前国内也有了一些讲MySQL比较好的数据，我推荐几本大家可以看，一本是《MySQL性能调优与架构设计》，一本是《深入浅出MySQL--数据库开发、优化与管理维护》这两本是笔者确实读过的，也是国内两只比较有实力的DBA团队的经验之谈。书大家可以买回去慢慢读，作为一篇文章篇幅有限，我只用片言片语引导性的介绍一些MySQL监控和优化方面的知识 阅读全文

摘要： 在开发的朋友特别是和mysql有接触的朋友会碰到有时mysql查询很慢，当然我指的是大数据量百万千万级了，不是几十条了，下面我们来看看解决查询慢的办法。MySQL查询优化：查询慢原因和解决方法会经常发现开发人员查一下没用索引的语句或者没有limit n的语句，这些没语句会对数据库造成很大的影响，例如一个几千万条记录的大表要全部扫描，或者是不停的做filesort，对数据库和服务器造成io影响等。这是镜像库上面的情况。而到了线上库，除了出现没有索引的语句，没有用limit的语句，还多了一个情况,mysql连接数过多的问题。说到这里，先来看看以前我们的监控做法 ：1. 部署zabbix等开源分布式 阅读全文

摘要： 命令： show processlist;如果是root帐号，你能看到所有用户的当前连接。如果是其它普通帐号，只能看到自己占用的连接。show processlist;只列出前100条，如果想全列出请使用show full processlist;mysql> show processlist;命令： show status;命令：show status like '%下面变量%';Aborted_clients 由于客户没有正确关闭连接已经死掉，已经放弃的连接数量。Aborted_connects 尝试已经失败的MySQL服务器的连接的次数。Connections 试图 阅读全文

摘要： 环境：windows2003+iis6+.net2.0处于安全考虑，对服务器安全进行设置。上传aspxspy测试。ASPXSPY探针1.禁止aspxspy木马执行命令提权 和读取注册表测试方法一： 先打开:C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\config\web.config 之后找到 <trust level="Full" originUrl="" /> 改为 <trust level="High" originUrl="" /> 然 阅读全文