1. 防止SQL注入 a. 除了过滤单引号“ ' ”,还要过滤数据库中的注释符号“ -- ”。 b. SQL语句中的字符串拼接,是很不靠谱的;实在要拼接,一定要从代码安全的角度多想想。 2. 文件上传漏洞 这是我头一次听说有这么一个漏洞。 现象: 假设我们使用的是IIS6.0及之前版本,当我们上传一个文件名为【熊猫烧香.aspx .jpg】,那么存到服务器上的文件将会是【熊猫烧香.aspx】。 原因: 文件名【熊猫烧香.aspx .jpg】在“.aspx”和“.jpg”之间有一个空格,IIS6.0及之前版本对于上传文件名的解析是从左向右的,如果在解析时遇到空格,就认为这个文件名已经结束 Read More
