re: 代码逆向乱谈之导引 Killcpp 2008-09-06 08:44
为什么访问不了debugman,我还没有注册,现在只要访问就是Forbidden
re: WinForm 编程细节 aierong 2008-08-20 08:38
请问楼主
frm_load()
ClearForm()
ClearFields()
Check_Data()
Update_Data()
Delete_Data()
cmd_AddNew()
cmd_UpdateNew()
cmd_Delete()
cmd_Exit()
在代码中这样排列方法是很好
要是一个窗体中,方法很多,手动一个个去排,可能很麻烦,你是否有什么简单的处理方法
re: 如何访问被和谐掉的sourceforge.net aheadkeeper 2008-07-27 20:34
http://www.sourceforgecn.net/ 国内的网站,还支持中文查询。sourceforge.net 上面的大部分都有
re: Open Source Flash 逖靖寒 2008-07-26 11:25
很全啊:)
推荐用带Tor的Opera
有个Opera急速体验版,非常不错:
http://www.sspred.com/opera
下载地址:
http://www.sspred.com/opera/down?i=3
绿色的,非常不错~
用来访问被和谐掉的网站很不错
我觉得,我们可以向工业部投诉,为什么关掉那个网站。
呵呵,我文章中介绍的这个方法适合"不想安装任何工具(代理工具,插件工具)的,也不想去设置IE代理时使用的“的朋友。
访问首页的方式能够看到sourceforge最近排行的最新项目。
搜索项目的方式是可以下载以及访问sourceforge的对应项目的。
感谢所有朋友的提出的方法,大家可以根据自己所爱各取之。
感谢LZ的发言,呵呵,LZ的方法不照。虽然能访问,但下载的时候就不照了。
下面的回复很有用,呵呵。还是很感谢
给中国网监一个中指!
1、设置IE游览器的代理访问。(是一种很常见也是很实用的方法。不过有一个缺点就是代理服务器一定是比较稳定的那种,要不,我们就会苦于在网上搜索“免费代理”)
2、下载无界。(我从没用过,我想他的原理大概也是自动采用代理方式)
3、感谢所有朋友提出的方法。
TO @香蕉皮:
老婆还是要的,学习也是要的,哈哈
http://www.aoner.com在过去的一年GOOGLE彻底得改变了它的排名算法,现在对网站的排名已经采用了新规则。 2-3年前,友情链接的数量对搜索引擎排名起了决定性的作用,炸弹链接就是一个典型的例子。随着大量优秀网站及专业网站的出现,这些网站几乎超过了10年前网站数量的总和。
安装个Tor/TorCP和Proxy,免得找代理的麻烦,以备不时之需!
btw:firefox的插件网的所有插件都下载不了了~~不知道这两件事是否有关联
用代理中国找个匿名代理,然后设置ie一下就可以访问,犯不着还这么麻烦吧
re: 如何访问被和谐掉的sourceforge.net 武眉博<活靶子.Net> 2008-07-05 12:55
公司的网络好像可以访问,所以我还不知道SF被河蟹,实在想不通啊,SF怎么会被河蟹。
re: 如何访问被和谐掉的sourceforge.net Zhuang miao 2008-07-05 12:25
楼主可以试试 firefox并安装Gladder插件...就可以自动代理访问一些国外不能访问的网站了...比如维基百科...何必那么麻烦..
re: .net的辅助工具列表(转) 代码乱了 2008-07-05 12:11
收藏了
re: 软件宝宝系列——SQL注入篇 PerfectDesign 2008-07-04 23:06
@深蓝
动态表名就会使用动态sql
@jillzhang
正如你所说的,就是动态执行SQL语句这种情况,虽然在项目中应该尽量避免,但是在某些特殊的情况下(比如高级搜索)选择使用动态SQL会更快。
根据我的经验杜绝注入的最有效方式就是参数强类型化并且对字符串中的单引号进行替换足矣。而这些用ORM等完全可以做到。
--引用--------------------------------------------------
jillzhang: @深蓝
使用参数并不能完全防止SQL Injection
-------------------------------------
举个例子
在存储过程中还拼SQL的不用说了
--------------------------------------------------------
有道理,不过在存储过程中还拼装SQL也是很不好的做法.应该尽量避免.
re: 软件宝宝系列——SQL注入篇 PerfectDesign 2008-07-04 16:14
参数化是能避免sql注入问题的,如果楼主不同意,你可以尝试注入一下,看你能否攻破。
另说一下,参数化还要保证动态执行sql的时候,需要sp_executesql,不然也不算是参数化。
据我所知,你这个只是sql中的比较常用的一种,现实很复杂,建议最好用参数。
@深蓝
使用参数并不能完全防止SQL Injection
-------------------------------------
举个例子
在存储过程中还拼SQL的不用说了
@HappyQQ
第一种方式完全不可取
第二种才是正规的方式,不会有SQL 注入问题.
@kiler
我不同意的是:
“用参数不能避免SQL 注入”
这个命题
不是反对原著作者的观点
感谢所有朋友的支持与建议
我上面已经建议两种方式,到底采用哪种方式,就要根据自己的项目而定。
不过我的建议是,安全方面,越严越好
我们现在客户端过滤一下,后台再用存储过程传递参数。
用特殊字符串过滤如果实际业务中真需要传入这些字符串怎么办?
假设实际的业务数据中包含有',那按你这样的话就会过滤掉,根本就搜索不到结果,这样的做法不妥,过滤效率也不是很好
...
1.过滤是不可取的方式
2.参数化传递可以避免SQL Injection,而且即使在参数中有SQL Injection的格式,一样可以被正确地插到数据库中. 原则上来说,所有的Connector都应该provide一个encode参数的功能,如果说使用了参数方式还是会有SQL Injection的情况发生,那这个Connector一定是第三方公司出品的劣质Connector
@killkill
比如你做国外项目啊,create,drop,select,insert,delete,update,这些都是老外用的基本词汇啊,凭什么不让人家用。
我举这个例子只是说明如何防止SQL注入
TO 布尔 :
并未关系到什么系统架构的应用,感谢所有朋友的建议。
TO 深蓝 :
是的,所有一切的输入都有可能是有害的。
@深蓝
---------------------------------------------------------------
使用参数并不能完全防止SQL Inj
ection,使用特殊字符串过滤如果实际业务中真需要传入这些字符串怎么办?
---------------------------------------------------------------
这个观点,我不太同意,请问可不可以举出例子呢
谢谢
对于SQL注入的预防应该再往前推进一步,即放到业务外观处,而不是等查询真的被执行的时候。所有的请求都是不可信的,但是我们应该相信我们的数据访问层。
另外采用一个模块来对请求进行安全检查要比楼主这样写好的多。