ASP注入漏洞全接触
作者:stardust 日期:2009-05-03
引 言
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
ASP连接ACCESS2007数据库时注意事项
作者:stardust 日期:2008-10-20
Microsoft JET Database Engine 错误 '80004005'
不可识别的数据库格式
但是以前没装OFFICE2007前建立好的数据库(以前用的ACCESS2003),使用这个代码可以正常运行。想了一想,估计是因为ACCESS2007的驱动代码已经发生变化。进入http://www.connectionstrings.com/(注意:该网站提供了现有所有数据库的连接方式,建议大家收藏该网址)一看,果真ACCESS2007的数据库连接方式已经发生变化。已经更改为:
Provider=Microsoft.ACE.OLEDB.12.0;Data Source=C:\myFolder\myAccess2007file.accdb;Persist Security Info=False;
于是更改了下代码,程序运行正常。
随后将代码更新至服务器,确发现程序还是不能运行,提示“驱动没有安装”,于是把驱动代码更改为microsoft.jet.oledb.4.0,提示“不可识别的数据库格式”,看来在本机建立的数据库为ACCESS2007的话,传到服务器上仍旧为ACCESS2007。于是网上搜索了一下ACCESS2007的驱动,安装,程序运行正常。
ACCESS2007的驱动下载地址:http://www.microsoft.com/downloads/details.aspx?FamilyID=7554f536-8c28-4598-9b72-ef94e038c891&DisplayLang=zh-cn
