仓酷云

标题: ASP教程之ASP法式暗码验证成绩 [打印本页]

作者: 灵魂腐蚀 时间: 2015-2-3 23:35
标题: ASP教程之ASP法式暗码验证成绩
对于中小型web应用来说,php有很强的竞争力,linux+apache+mysql+php(lamp)的组合几乎可以胜任绝大多数网站的解决方案,对于大型应用来讲,对于系统架构要求更高,需要有成熟的框架支持,jsp的struts是个不错的框架,国内介绍它的资料也非常多,应用逐渐广泛起来。asp就不用说了，法式|成绩触及法式：
MS IIS

描写
国际一大先生发明的NT网站的ASP法式暗码验证破绽

具体
来自: benjurry@263.net
原文以下：

很早就发明良多国际法式员对暗码验证不注重，明天去了陈水扁(www.abian.net)的网沾，顺手一试，竟然发明有这类破绽，真是让人笑破肚皮！
道理：
良多网站把暗码放到数据库中，在上岸验证顶用以下sql,(以asp为李）
sql="select * from user where username='"&username&"'and pass='"& pass&'"
此时，您只需依据sql机关一个特别的用户名和暗码，如：ben' or '1'='1
hehe ...是否是出来了？？

-----------------------------------------------------------------------

注释:
上述的SQL语句是ASP法式的if判别的一局部，假如该语句前往为真，则暗码验证经由过程。
输出 ben' or '1'='1如许的用户名以后，其验证的语句将履行为:
sql="select * from user where username='"& ben' or '1'='1 &"'and pass='"& pass&'"
由于1=1为真，因为 or 逻辑运算符的感化，这个语句将前往为真。
所以验证经由过程。

处理计划
ASP法式员应当用更周密的判别语句来避免这个平安成绩
上面是发明者提出的处理计划：
对照好的应当依照以下体例:
1、处置输出字符，
2、处置‘,|等字符
3、select * from user where user=’ " & User & "' "
4、假如前往不为假，则取暗码
pass=rs("passwd")
5、判别：if pass=password
6、得出结论。
</p> 写软件都是想的时间比写的时间要长的.如果反过来了就得看看是什么原因了. 另外大家可以回去问问公司里的小MM.(一般企业里,跟你们交付软件接触得最多的是她们)

作者: 谁可相欹 时间: 2015-2-4 03:02
Request:从字面上讲就是“请求”，因此这个是处理客户端提交的东东的,例如Resuest.Form，Request.QueryString,或者干脆Request("变量名")

作者: admin 时间: 2015-2-5 14:28
ASP也是这几种脚本语言中最简单易学的开发语言。但ASP也是这几种语言中唯一的一个不能很好支持跨平台的语言。　　因为ASP脚本语言非常简单，因此其代码也简单易懂，结合HTML代码，可快速地完成网站的应用程序。

作者: 柔情似水 时间: 2015-2-8 06:57
ASP主要是用好六个对象，其实最主要的是用好其中两个：response和request，就可以随心所欲地控制网页变换和响应用户动作了。

作者: 透明 时间: 2015-2-21 08:48
学习ASP其实应该上升到如何学习程序设计这种境界，其实学习程序设计又是接受一种编程思想。比如ASP如何学习，你也许在以前的学习中碰到过。以下我仔细给你说几点:

作者: 深爱那片海 时间: 2015-3-6 20:01
Response:从字面上讲是“响应”，因此这个是服务端向客户端发送东西的，例如Response.Write

作者: 蒙在股里 时间: 2015-3-6 20:01
如何学好ASP,以前也有人问过,把回答给你转过来看看能否对你有帮助:

作者: 老尸 时间: 2015-3-9 00:36
学习是为了用的，是为了让你的程序产生价值，把握住这个原则会比较轻松点。除此之外，课外时间一定要多参加一些社会实践活动，来锻炼自己的能力。

作者: 简单生活 时间: 2015-3-10 12:51
哪些内置对象是可以跳过的，或者哪些属性和方法是用不到的?

作者: 分手快乐 时间: 2015-3-11 19:56
交流是必要的，不管是生活还是学习我们都要试着去交流，通过交流我们可以学到很多我们自己本身所没有的知识，可以分享别人的经验甚至经历。

作者: 爱飞 时间: 2015-3-19 10:42
Application:这个存储服务端的数据，如果不清除，会直到web应用程序结束才清除(例如重启站点)

作者: 愤怒的大鸟 时间: 2015-3-27 18:08
那么，ASP.Net有哪些改进呢？

作者: 灵魂腐蚀 时间: 2015-4-16 04:42
Request:从字面上讲就是“请求”，因此这个是处理客户端提交的东东的,例如Resuest.Form，Request.QueryString,或者干脆Request("变量名")

作者: 小妖女 时间: 2015-4-20 07:47
以HTML语言整合(HTML负责界面上，ASP则负责功能上)形成一个B/S(浏览器/服务器)模式的网页程序。

作者: 飘飘悠悠 时间: 2015-4-20 11:39
ASP的语言不仅仅只是命令格式差不多，而是包含在<%%>之内的命令完全就是VB语法。虽然ASP也是做为单独的一个技术来提出的，但他就是完全继承了VB所有的功能。

作者: 若相依 时间: 2015-4-26 13:10
从事这个行业，那么你可以学ASP语言，简单快速上手，熟练dreamweav排版，写asp代码，熟练photoshop处理图片，打好基础就行了

作者: 因胸联盟 时间: 2015-4-27 21:06
他的语法和设计思路和VB完全相同，导致很多ASP的书都留一句“相关内容请参考VB的相关教材....”更糟糕的是，相当多的ASP教程混合了Javascript,VBscript等等脚本语言，搞的初学者。

作者: 山那边是海 时间: 2015-5-2 17:16
完全不知道到底自己学的是什么。最后，除了教程里面说的几个例子，还是什么都不会。

作者: 乐观 时间: 2015-6-14 20:59
下面简单介绍一下我学习ASP的方法,希望对想学习ASP的朋友有所帮助...

作者: 飘灵儿 时间: 2015-6-21 07:27
不是很难但是英文要有一点基础网上的教程很少有系统的详细的去买书吧,另不用专门学习vb关于vbscript脚本在asp教材都有介绍

欢迎光临仓酷云 (http://ckuyun.com/)