我也博客了！DOT NET必经之路

摘要：从前，在南方一块奇异的土地上，有个工人名叫彼得，他非常勤奋，对他的老板总是百依百顺。但是他的老板是个吝啬的人，从不信任别人，坚决要求随时知道彼得的工作进度，以防止他偷懒。但是彼得又不想让老板呆在他的办公室里站在背后盯着他，于是就对老板做出承诺：无论何时，只要我的工作取得了一点进展我都会及时让你知道。彼得通过周期性地使用“带类型的引用”(原文为：“typed re... 阅读全文

摘要：ASP编程门槛很低，新手很容易上路。在一段不长的时间里，新手往往就已经能够编出看来比较完美的动态网站，在功能上，老手能做到的，新手也能够做到。那么新手与老手就没区别了吗？这里面区别可就大了，只不过外行人很难一眼就看出来罢了。在界面的友好性、运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点。而在安全性方面，新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI 2.0对网上的一些ASP... 阅读全文

摘要：看完入门篇和进阶篇后，稍加练习，破解一般的网站是没问题了。但如果碰到表名列名猜不到，或程序作者过滤了一些特殊字符，怎么提高注入的成功率？怎么样提高猜解效率？请大家接着往下看高级篇。第一节、利用系统表注入SQLServer数据库SQLServer是一个功能强大的数据库系统，与操作系统也有紧密的联系，这给开发者带来了很大的方便，但另一方面，也为注入者提供了一个跳板，我们先来看看几个具体的例子：]... 阅读全文

摘要：第一节、SQL注入的一般步骤首先，判断环境，寻找注入点，判断数据库类型，这在入门篇已经讲过了。其次，根据注入参数类型，在脑海中重构SQL语句的原貌，按参数类型主要分为下面三种：(A) ID=49 这类注入的参数是数字型，SQL语句原貌大致如下：Select * from 表名 where 字段=49注入的参数为ID=49 And [查询条件]，即是生成语句：Select * from 表名 whe... 阅读全文

摘要：随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。 SQL注入是从正常的WWW端口访问... 阅读全文

摘要：本文讲解如何使用LEFT JOIN、CROSS JOIN以及IDENTITY值的检索，这些技术来提高基于SQL Server的应用程序的性能或改善其可伸缩性。　　你将遇到的现象：应用程序中的SQL 查询不能按照您想要的方式进行响应。它要么不返回数据，要么耗费的时间长得出奇。如果它降低了企业应用程序的速度，用户必须等待很长时间。用户希望应用程序响应迅速，他们的报告能够在瞬间之内返回分析数据。　　为了... 阅读全文