Archive for 07月, 2006
-
ASP
星期一, 07月 31st, 2006
网站做好也有一段时间了,但是由于各种原因,一直没有时间在上面发东西。
觉得不太好意思。 现在我准备 在上面写一个关于ASP学习的文章。
希望大家能喜欢
至于怎么写 恩~~ 还没想好 [sweat]
[lol] 想到哪写到哪吧~!技术不咋地 但希望能和大家一起交流 [/size][/size] -
网上邮订了UBUNTU `
星期日, 07月 30th, 2006
经DanceFire推荐
网上邮订了UBUNTU “
不知道能不能收到哦! 免费的`呵呵~
大家要的可以自己有填写定单` 当然免费!
我订了10张一套`呵呵` 大家需要的来问我要!
8张PC
1张64 Bit
1张MAC
嘿嘿“
让我们把Ubuntu在周围推广开来!!!!!!
地址是 https://shipit.ubuntu.com/ 自己注册吧!英语嘛`以您的实力,不是问题!
————————————————————————————————————————————————————————————–
先注册` 添上你的一个信箱然后你就会收到象这样的邮件!然后按步骤做就是了` 本来打算写汉字的`想下只要国家写CHINA 就可以 了
反正送到中国之后就不让他们送了`剩下的写汉字就不更好了吗?
谁知道NND 却不允许GB2312出现` 写英语吧` 又太长!估计是这样
Class 05-1
Major Software Engineering
Department of Computer Science
光是班级哦! NND 在添上 JiangXi Provinct 在写上NanChang City 在写上 WanLi Boroug
去他NND 根本写不完` 只要写拼音了! 反正国内的邮递员认识` 还有电话!
1000年之后^^^^^^^
终于收到了“““ -
DZ被黑!及其他BUG说明!
星期四, 07月 27th, 2006
被黑了`很正常! 常在河边走,哪有不湿鞋的呢!
在说了 树大招风!!
JUST FOR FUN 只是娱乐! 友情提示吧!~ 07.23 吧!=======================================================
书写错误,导致恶意用户构造语句可以写入webshell,进而控制整个服务器。
前几个晚上,把前台文件,只要是数据库调用中的变量都看了一遍。看看是不是有过滤不严的地方,看完后觉得,过滤不严的地方的确不少,但是都已经被单引号保护起来了。在php中,如果magic_qoute_gpc=on(默认的)编译器会自动把单引号等特殊字符转义,而这个时候我们想改变程序的执行流程是非常困难的。这样大大的增加了入侵的难度,在某种程度上,也的确保证了其安全。这也是为什么朋友提出一定要在magic_qoute_gpc为on的时候依然可以利用的要求。如果需要单引号介入才能利用的漏洞,在Discuz!论坛中基本上是没什么用处的。
在把所有文件中数据库连接的地方读了一个遍后,没找到任何有价值的东西。这个时候思路开始有一点乱了,我在犹豫自己是否应该试着从程序员的思维逻辑漏洞下手看看,这就意味着我要去通读所有代码,找到程序员在写程序时考虑不周全的地方,这种漏洞多半是上下文逻辑关系错误,或者是限定不唯一,还有就是一些本来应该注意,但管理员却偏偏忽略的地方。
想到这里,看来没什么能偷懒的了,只能通读代码。因为既然目标是逻辑错误,那么就一定要细看上下文的关系,所以选择从入口点开始读起。入口点就应该是logging.php,因为这是登陆的地方,所有人都会从这里登陆进入论坛。上吧!
老规矩,我们先来看一段代码:
50 $errorlog = "$usernamet".substr($password, 0, 2);
……
54 $errorlog .= substr($password, -1)."t$onlineipt$timestampn";
55 $password = md5($password);
56 $query = $db->query("select m.username as discuz_user, m.password as discuz_pw, m.status, m.styleid AS styleidmem, m.lastvisit, u.groupid, u.isadmin, u.specifiedusers like ‘%t$usernamet%’ AS specifieduser
FROM $table_members m LEFT join $table_usergroups u ON u.specifiedusers like ‘%t$usernamet%’ [...] -
update注射(mysql+php)的两个模式
星期日, 07月 23rd, 2006
一.测试环境:
OS: Windowsxp sp2
php: php 4.3.10
mysql 4.1.9
apache 1.3.33
二.测试数据库结构:
– 数据库: `test`
–
– ——————————————————–
–
– 表的结构 `userinfo`
–
create TABLE `userinfo` (
`groudid` varchar(12) NOT NULL default ‘1′,
`user` varchar(12) NOT NULL default ‘heige’,
`pass` varchar(122) NOT NULL default ‘123456′
) ENGINE=MyISAM DEFAULT CHARSET=latin1;
–
– 导出表中的数据 `userinfo`
–
insert INTO `userinfo` VALUES (’2′, ‘heige’, ‘123456′);
三.测试模式:
1,变量没有带”或””[MOD1]
<?php
//test1.php Mod1
$servername = "localhost";
$dbusername = "root";
$dbpassword = "";
$dbname = "test";
mysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败");
$sql = "update userinfo set pass=$p where [...] -
看清程序员
星期二, 07月 11th, 2006
看清程序员
1、 程序员意味着要编程序。(如果你仅仅想得到一份高薪水的工作,喝喝咖啡就等老板发薪水, 我奉劝你还是另找一份更合适的工作,譬如练摊,真的,兄弟,这份工作不适合你 )
2、你是学文的还是学理的,编程序也许需要浪漫,但更需要逻辑和严谨。(说坦白点就是,在你 没有找到乐趣以前,它很枯燥)
3、你有对新技术追求的热情吗?你有刨根问底的探索精神吗?(热情绝对是最重要的!你仔细思 考一下自己的性格适合当程序员吗?)
4、当程序员决不是什么好差事,时刻需要学习,需要思考。(直到你成为那个可以引导别人去学 习和思考的人,你才可以偷偷的嘿嘿笑,又一群傻蛋)
5、程序员的未来很迷茫。但我认为关键看你自己!我希望你是一个有追求的人,不仅仅是混碗饭 吃。因为真正的乐趣在于创造
6、当程序员还是很有乐趣的。(当你学到新知识时,当你有新的思想见解时,当你有新的产品问 世时,和知己探讨你的成果时…我问你,觉得这些是乐趣吗?)
7、当程序员不易也不难。(世间事有难易乎?为之…;不为…。你有决心和信心吗?)
8、你真的要当程序员?是你自己的想法?
9、你舍得花钱买书吗?(读好书绝对是学习编程的最佳捷径。你一定会说,现在电脑书籍真TMD贵,没法子,谁让知识和技术在人家的脑袋,在人家的书里呢;等你写书时可以把价格定低一点,记着还有好多没钱但想买书的兄弟很困难呀。要舍得买书,买好书,不好的的书不如不读,
其害大于其益,关于买什么书,你可以问高手或看候捷的书评;准备一个小本子记录你想买的书的名字,逛书店时看看,如果好就买下,记住要读,别光买不看。)
10、我告诉你,程序就是:任何有目的的、预想好的动作序列,它是一种软件。
11、编程序就是编写程序。
12、你想好了吗?(如果你想好了还是决定要当程序员,可以继续往下读;否则,你可以继续寻找别的出路了。)
(一) 一个程序员应该具备的基础知识和概念
1、计算机是有什么组成的,CPU是什么东西,其工作原理是什么。(对于这些以及下面将要提到的概念我不会告诉你应的教材什么答案,你可以看相,关于教材我会在下一部分详述,记住理解最重要!)
2、机器语言和微指令集的概念。
3、程序的概念。
4、汇编语言是低级语言但不是机器语言。
5、高级语言主要有那些?(C,C++,Basic,Pascal,Fortran,C#,Java等等;如果你是中国软件业的英雄,你也写一门语言,最好不用英语)
6、编译程序和解释程序的概念和其原理。(编译器是高手和专家编写的)
7、HTML、XML等是标识性语言。
8、Prolog是人工智能语言。
9、操作系统OS的概念和原理。(Windows98,Windows2000,Windows NT,UNIX,Linux,等等都是OS,还有一些实时OS,嵌入OS,编这些的绝对是高手)
10、Windows编程说白了就是Windows API的调用。(中国的程序员很多只是会编windows程序,用的是VB,我的建议是这些程序员顶多只是低级编码员,我称其是coder)
11、VC++、VB、BC、BCB、Delphi、VF等都只是编程的工具和环境,不是编程语言。
12、面向结构的设计概念。
13、面向对象的概念。(好好理解,兄弟,这个东西还是很重要的)
14、软件工程的概念和原理。(如果你想当老总就需要好好研究了,系统分析员比编码员要高一个等级,薪水也高哟)
15、数据库的概念。(要熟悉一些著名的数据库系统和语言的名字,如Orcle,SQL,DB2,DyBase等)
16、了解网络概念。
17、了解多媒体概念。
18、熟悉和掌握数据结构和基本算法。
19、是不是要求太高了,别着急慢慢来,进步在不知不觉之中。(一旦开始学习,一个月以后你就会有一个基本的概念;两个月以后你就会感觉自己有了全面的基础知识;当你知道编程序是怎么回事时,说明你已经入门了。也有很多人编了很多年程序还没有入门呢,你不会希望自己步其后尘吧。要有信心和耐心。沉不住气怎么能成大事?!)
(二) 教材推荐
――-推荐的教材主要还是针对概念来的,最好选用名校的教学用书。
1、《计算机组成原理》(熟悉)
2、《数据结构》(掌握)
3、《操作系统》(了解->熟悉)
4、《The C language》(掌握)
5、《编译原理》(了解原理)
6、《汇编语言》(了解)
7、《计算机网络》(了解)
8、《软件工程》(了解)
9、《关系数据库》(熟悉)
10、《The C++Languege 》(掌握)
11、《面向对象设计》(掌握;结合C++学习)
[b]
(三)一些经验和体会 [/b]
1、真正的程序员用C++;(一位专家说的)
2、动手去编程序;
3、动脑去思考;
4、要有良好的编程风格;
5、读书,读好书,尽量读原版书!(我反复强调这一点,读书要有选择,坚持读好书,名家出的经典书,不要浪费实践在一些粗制滥造的书上面;坚持博览群书)
6、有自己的学习计划;
7、总结自己的经验教训;(准备一个笔记本,记录错误和心得)
8、不要怕学新东西;
9、要有软件工程的思想;
10、善于发现问题,然后去寻找答案;
11、向高手请教;(要虚心直到你成为高手)
12、和同行交流;(不善于交流肯定不行)
13、懂得软件的实质,不要被千变万化的表象所迷惑;
14、真正要学习用的是编程语言和方法,不是什么库,什么类,什么工具;(学用那些什么库都比较简单,但光会这些库,我觉得还远远不够)
15、学习wiodows编程主要是学习windows OS和win32 API;
16、有空了解一下嵌入式开发;
17、有空了解一下PDA软件开发;
18、了解一下.NET框架和C#语言,也许它是你新的衣食父母;
19、要有耐心,不要作浮躁的人;
20、对程序加注释,并保留你的老程序;
21、学到的东西越多,了解的越多,你就越接近专家;
22、有空去逛逛CSDN,那里有你很多知己;
23、要有信心成为一个优秀的程序员;