摘要： 前两天朋友的一个网站上有人利用php注入提交flash游戏分数，后来找原因才发现是有一位参数没有做数字判断导致。本来保存游戏分数是 game.php?ac=save&fgid=1这个形式来实现，在php网页里面fgid直接调用，没有做任何的过滤。很多人利用在fgid=1后面加一个字母(fgid=1a)，来实现一些非法操作。假如gamlist table 里面有一个游戏fgid为102select gname from gamelist where fgid=’102′;select gname from gamelist where fgid=’102a’;这样都可以成功的找到游戏名字gnam 阅读全文

摘要： 在建立与服务器的连接时出错。在连接到 SQL Server 2005 时，在默认的设置下 SQL Server 不允许进行远程连接可能会导致此失败。 (provider: 命名管道提供程序, error: 40 - 无法打开到 SQL Server 的连接 阅读全文