博客园-Code Life-最新评论http://www.cnblogs.com/applelure/CommentsRSS.aspx Joy Code...zh-cnThu, 15 Sep 2011 06:41:09 GMTThu, 15 Sep 2011 06:41:09 GMTcnblogsRe:ASP.NET页面传值的方法http://www.cnblogs.com/applelure/archive/2010/03/29/1182202.html#1788929小恐龙小恐龙Mon, 29 Mar 2010 01:55:06 GMThttp://www.cnblogs.com/applelure/archive/2010/03/29/1182202.html#1788929
小恐龙 2010-03-29 09:55 发表评论
]]>Re:PetShop 4.0架构与技术分析(1)http://www.cnblogs.com/applelure/archive/2009/09/15/734268.html#1646889海洋之 心海洋之 心Tue, 15 Sep 2009 03:50:44 GMThttp://www.cnblogs.com/applelure/archive/2009/09/15/734268.html#1646889
海洋之 心 2009-09-15 11:50 发表评论
]]>Re:写给那些ASP.NET程序员:网站中的安全问题http://www.cnblogs.com/applelure/archive/2009/08/15/1386244.html#1615404<td>我也想试一下,哈哈!</td><td>我也想试一下,哈哈!</td>Sat, 15 Aug 2009 03:13:11 GMThttp://www.cnblogs.com/applelure/archive/2009/08/15/1386244.html#1615404
<td>我也想试一下,哈哈!</td> 2009-08-15 11:13 发表评论
]]>re: C#(局域网)获取外网IPhttp://www.cnblogs.com/applelure/archive/2009/05/22/1142851.html#1535846codelifecodelifeFri, 22 May 2009 15:23:38 GMThttp://www.cnblogs.com/applelure/archive/2009/05/22/1142851.html#1535846域名系统 (Domain Name Server)

codelife 2009-05-22 23:23 发表评论
]]>re: 写给那些ASP.NET程序员:网站中的安全问题http://www.cnblogs.com/applelure/archive/2009/05/06/1386244.html#1520576yayyayWed, 06 May 2009 02:37:33 GMThttp://www.cnblogs.com/applelure/archive/2009/05/06/1386244.html#1520576发个贴子被难为成这样

yay 2009-05-06 10:37 发表评论
]]>re: C#(局域网)获取外网IPhttp://www.cnblogs.com/applelure/archive/2009/05/05/1142851.html#1519730子民子民Tue, 05 May 2009 05:58:44 GMThttp://www.cnblogs.com/applelure/archive/2009/05/05/1142851.html#1519730
子民 2009-05-05 13:58 发表评论
]]>re: C#(局域网)获取外网IPhttp://www.cnblogs.com/applelure/archive/2009/05/05/1142851.html#1519728子民子民Tue, 05 May 2009 05:57:36 GMThttp://www.cnblogs.com/applelure/archive/2009/05/05/1142851.html#1519728
请问LZ:Dns是什么啊?


子民 2009-05-05 13:57 发表评论
]]>re: 写给那些ASP.NET程序员:网站中的安全问题http://www.cnblogs.com/applelure/archive/2009/04/28/1386244.html#1513983&lt;td&gt;再试一下,不好意思&lt;/td&gt;&lt;td&gt;再试一下,不好意思&lt;/td&gt;Mon, 27 Apr 2009 22:25:46 GMThttp://www.cnblogs.com/applelure/archive/2009/04/28/1386244.html#1513983
<td>再试一下,不好意思</td> 2009-04-28 06:25 发表评论
]]>re: 写给那些ASP.NET程序员:网站中的安全问题http://www.cnblogs.com/applelure/archive/2009/02/09/1386244.html#1446910ApplelureApplelureMon, 09 Feb 2009 14:39:54 GMThttp://www.cnblogs.com/applelure/archive/2009/02/09/1386244.html#1446910渴望了解更多的安全知识,请指点!

Applelure 2009-02-09 22:39 发表评论
]]>re: ASP.NET页面传值的方法http://www.cnblogs.com/applelure/archive/2009/02/09/1182202.html#1446672melody&amp;bobomelody&amp;boboMon, 09 Feb 2009 07:27:36 GMThttp://www.cnblogs.com/applelure/archive/2009/02/09/1182202.html#1446672
melody&bobo 2009-02-09 15:27 发表评论
]]>re: 写给那些ASP.NET程序员:网站中的安全问题http://www.cnblogs.com/applelure/archive/2009/02/09/1386244.html#1446320自由骑士自由骑士Mon, 09 Feb 2009 01:51:46 GMThttp://www.cnblogs.com/applelure/archive/2009/02/09/1386244.html#1446320
自由骑士 2009-02-09 09:51 发表评论
]]>re: 写给那些ASP.NET程序员:网站中的安全问题http://www.cnblogs.com/applelure/archive/2009/02/09/1386244.html#1446300www.guyazi.comwww.guyazi.comMon, 09 Feb 2009 01:38:12 GMThttp://www.cnblogs.com/applelure/archive/2009/02/09/1386244.html#1446300例如:select * from T where f like '%' + @FieldValue + '%',这种情况下,这个@FieldValue 是需要处理特殊的转义字符的 % 『 等。

www.guyazi.com 2009-02-09 09:38 发表评论
]]>re: 写给那些ASP.NET程序员:网站中的安全问题http://www.cnblogs.com/applelure/archive/2009/02/09/1386244.html#1446278kilerkilerMon, 09 Feb 2009 01:27:55 GMThttp://www.cnblogs.com/applelure/archive/2009/02/09/1386244.html#1446278 文件上传比较好解决,方法就是把上传文件存到网站文件夹以外的目录,用虚拟目录导入到现有网站,上传目录取消脚本执行权限就可以了。


kiler 2009-02-09 09:27 发表评论
]]>re: 写给那些ASP.NET程序员:网站中的安全问题http://www.cnblogs.com/applelure/archive/2009/02/09/1386244.html#1446252玄天尊的小屋玄天尊的小屋Mon, 09 Feb 2009 01:11:51 GMThttp://www.cnblogs.com/applelure/archive/2009/02/09/1386244.html#1446252
玄天尊的小屋 2009-02-09 09:11 发表评论
]]>re: 写给那些ASP.NET程序员:网站中的安全问题http://www.cnblogs.com/applelure/archive/2009/02/09/1386244.html#1446203徐少侠徐少侠Sun, 08 Feb 2009 23:29:59 GMThttp://www.cnblogs.com/applelure/archive/2009/02/09/1386244.html#1446203
徐少侠 2009-02-09 07:29 发表评论
]]>re: 写给那些ASP.NET程序员:网站中的安全问题http://www.cnblogs.com/applelure/archive/2009/02/09/1386244.html#1446202徐少侠徐少侠Sun, 08 Feb 2009 23:29:13 GMThttp://www.cnblogs.com/applelure/archive/2009/02/09/1386244.html#1446202
不过如果就是有人愿意向数据库直接发送SQL语句而不是调用存储过程

那么在程序代码中使用command则能避免此问题。

所以问题的实质是要进行参数化查询

至于用什么技术做到不是本质的。

徐少侠 2009-02-09 07:29 发表评论
]]>re: 写给那些ASP.NET程序员:网站中的安全问题http://www.cnblogs.com/applelure/archive/2009/02/09/1386244.html#1446201徐少侠徐少侠Sun, 08 Feb 2009 23:27:07 GMThttp://www.cnblogs.com/applelure/archive/2009/02/09/1386244.html#1446201
command可以执行参数化查询,而参数不会成为执行语句的一部分。他仅仅是个参数,哪怕你写的参数是SQL的特殊指令

我认为这才是彻底杜绝的方法。根本不需要任何过滤的代码。



徐少侠 2009-02-09 07:27 发表评论
]]>re: 写给那些ASP.NET程序员:网站中的安全问题http://www.cnblogs.com/applelure/archive/2009/02/09/1386244.html#1446146ApplelureApplelureSun, 08 Feb 2009 16:07:18 GMThttp://www.cnblogs.com/applelure/archive/2009/02/09/1386244.html#1446146可能是我写的不太明白,我认为在这里存储过程还是比较好的解决方案,因为它对传入的特殊字符是不会直接象接那样执行的(而且对特殊字符的查询也完全没有问题)。如:
@pp varchar(100) as
select * from p3 where [Content]=@pp。
而我说的在存储过程中的拼接是:
@pp varchar(200) as
declare @sql varchar(500)
set @sql = 'select * from p3 where [Content]='''
set @sql = @sql + @pp +''''
exec (@sql)
这种拼接后就与没用存储过程是一样的结果。

Applelure 2009-02-09 00:07 发表评论
]]>re: 写给那些ASP.NET程序员:网站中的安全问题http://www.cnblogs.com/applelure/archive/2009/02/08/1386244.html#1446121ApplelureApplelureSun, 08 Feb 2009 14:56:43 GMThttp://www.cnblogs.com/applelure/archive/2009/02/08/1386244.html#1446121文章讲的可能是一些基础的问题,但是在实际网站中是确实存在的。

Applelure 2009-02-08 22:56 发表评论
]]>re: 写给那些ASP.NET程序员:网站中的安全问题http://www.cnblogs.com/applelure/archive/2009/02/08/1386244.html#1446070编程入门编程入门Sun, 08 Feb 2009 13:50:03 GMThttp://www.cnblogs.com/applelure/archive/2009/02/08/1386244.html#1446070
编程入门 2009-02-08 21:50 发表评论
]]>