原文地址:http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html1.1.1 摘要日前,国内最大的程序猿社区CSDN站点的用户数据库被黑客公开公布,600万用户的登录名及password被公开泄露,随后又有多家站点的用户password被...
分类:
数据库 时间:
2014-06-28 19:31:39
阅读次数:
323
jdbc优点:简单易学,上手快,非常灵活构建sql,效率高。l缺点:代码繁琐,难以写出高质量的代码(资源的释放,SQL注入安全性等),开发者关注多,又要写业务逻辑,又要关注对象的创建和销毁。Hibernate 冬天学比较好 ORM实体关系映射,好处:不用写sql语句。可以以面向对象的方式设计和访问,...
分类:
其他好文 时间:
2014-06-28 12:12:53
阅读次数:
319
这些个人感觉都是基础,希望看的园友不要喷。1、什么是servlet线程安全,如何解决?2、spring事物管理,在项目中你是怎么管理事物的?3、java中的有几种线程?4、java有几种锁?5、怎么理解java中的多态,项目中何时用到抽象类?6、如何处理js,sql注入?7、struts2拦截器的原...
分类:
编程语言 时间:
2014-06-25 00:52:15
阅读次数:
251
不小心删了,找快照才找到的。补回来。。。上次遇到一个Base64的注入点,手工注入太麻烦,于是在网上看了一下sqlmap Base64注入的方法,如下:sqlmap -u http://xxxx.com/index.php?tel=LTEnIG9yICc4OCc9Jzg5 --tamper base...
分类:
数据库 时间:
2014-06-23 07:21:34
阅读次数:
444
这篇文章之前的名字叫做:WAF bypass for SQL injection #理论篇,我于6月17日投稿了Freebuf。链接:点击这里现博客恢复,特发此处。 Web Hacker总是生存在与WAF的不断抗争之中的,厂商不断过滤,Hacker不断绕过。WAF bypass是一个永恒的话题...
分类:
数据库 时间:
2014-06-23 07:13:25
阅读次数:
255
SQL 攻击(SQL injection,台湾称作SQL资料隐码攻击),简称注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指 令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏。有部份人认...
分类:
数据库 时间:
2014-06-23 06:47:43
阅读次数:
277
PHP如何防止SQL注入及开发安全[php]function inject_check($sql_str) {$check=eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile',...
分类:
数据库 时间:
2014-06-23 06:07:14
阅读次数:
317
前言
随着WEB开发的发展如日中天,越来越多的程序猿加入这个行列,尤其是在大型项目团队开发的过程中,程序员们的水平参差不齐。导致各种各样的安全验证不严密导致各种问题。正如那句话所说,水桶能装水的多少不取决于最高的挡板,而是最低的挡板。
那今天我就给大家演示一下常见的安全问题SQL的形成原因和预防。
环境准备
我本来打算用java做实验的,考虑到PHP的话比较快,就用PH...
分类:
数据库 时间:
2014-06-18 12:08:38
阅读次数:
250
案例重演:
dbca建库,SID:metro --手工建库时实例名小写的metro
......
[oracle@org54 ~]$ export ORACLE_SID=METRO
--由于未设置环境变量,手工注入SID
[oracle@org54 ~]$ sqlplus '/as sysdba'
--登...
分类:
其他好文 时间:
2014-06-15 18:24:10
阅读次数:
232
多数人知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的。 首先:我们要了解SQL收到一个指令后所做的事情:
在这里,简单的表示为:收到指令 -> 编译SQL生成执行计划 ->选择执行计划 ->执行执行计划。
具体可能有点不一样,但大致的步骤如上所示。...
分类:
数据库 时间:
2014-06-13 15:59:54
阅读次数:
206
