Как да си намерим + спре SQL инжекция атаки

Има много неща там за SQL инжекция атаки, но там не е много, че ще ви помогне да разбера как да се спре тези атаки от настъпване.

Първо, нека да говорим за това, което SQL инжекция "Атака" в действителност. Някои хора смятат, че е вирус, наистина, че е "във вашия сайт." Не е така. Това са бот атака от други вируса на заразения компютър. Те просто използват един груб подход сила на сканиране URL адреси, които се POST / GET входове и се опитват да изпратят своите собствени данни за тях.

Е, как искаш да следите тези надолу и да ги спрете? За уеб сайтове, задвижвани от IIS на Microsoft, тук са нашите предложения:

1. Виж си IIS трупи
   Опитайте търсене на думата "ДЕКЛАРИРАМ" или "изпълни." Ако сте били засегнати от атаката, те повече от вероятно ще се появи в IIS дневници - най-малко за всяка атака, която е опит за използване на "GET" постове. Ако все пак намерите всички случаи на "ДЕКЛАРИРАМ" или "изпълни" Това са страници, за да започнете.
2. Използвайте централизирана база данни, обработка връзка
   Обикновено, направи централизирана файл (например connection.asp ако използвате ASP ), Който обработва всички ваши достъп DB. По този начин, е по-лесно да се уверите, че сте SQL кодиране страниците си. Можете лесно да заявки за търсене за "ДЕКЛАРИРАМ" и "Изпълнение" и да спре атаките мъртъв в техните песни.
3. Прилагане на сайта широко разтвор
   Ако работите с вашия собствен сървър, ние силно препоръчваме ISAPI_Rewrite от HeliconTech ( http://www.helicontech.com/isapi_rewrite ). Това е един филтър ISAPI, който ви позволява да правя различни неща, включително сканиране URL данни. Това ще спре 99% от атаките, без да променят кода на сайта си! \
4. Никога не използвайте "SA", както вашата база данни потребител, изграждане на потребителска база данни за работа и след това извадете от привилегии, за да прочетете dbo майстор. Това не позволява на хакери от "смъркане" вашата база данни структура, обаче, че тези атаки са се развили така, че санирани съхраняват процедура, основана атаки се случи дори и с тези видове сигурност на място. Вижте http://www.ngssoftware.com/papers/more_advanced_sql_injection.pdf за повече информация за този и други идеи за предотвратяване на SQL инжекция атаки.

Ако някога сте били надраскване главата си се чудех, когато изтече в програмирането е (или са взели над един проект от някой друг), тогава най-добрият начин да се определи чрез коя страница на атаката е случило с проверка на IIS трупи.

Има много скриптове на разположение за почистване, но най-добрият съвет е да направите резервно копие час, както и да следват най-добрите практики (някои от които аз подчерта тук). Успех

Лесният & най-изчерпателното мейл маркетинг инструмент

iContact основна цел е да се да се включат усъвършенствани функции в един прост, лесен за използване и достъпни пакет. Въпреки че много програми се опитват да се постигне този баланс, iContact направи невероятно добре.

Големите потребителски интерфейс

iContact е в състояние да направи това, защото от голямата си потребителски интерфейс, който позволява на нови търговци имейл удари в земната повърхност вървят с основните функции, но и го прави лесно за по-опитен, за да получите достъп до функции те се нуждаят. Така или иначе, iContact е създал страхотно продукт, поради което над 50 000 клиенти в момента използвате iContact.

Основни характеристики ще обичам

iContact го прави лесен за нов маркетинг имейл, за да получите в играта най-бързо:

• Евтините: малко под $ 10/month да започнете!
• Над 300 професионално проектирани шаблони на имейл направите имейли изглеждат професионално
• График съобщенията да бъдат разпространявани в бъдеще, за да спести време
• Тяхната система автоматично се грижи за вашите имейли няма да бъдат маркирани като спам, така че потребителите винаги ще получат писма.
• Проследяване на това, което правя с абонатите си електронна поща, така че знам колко добре си бюлетини са били приети.
• Събитие RSVP проследяване
• Разпределете изследвания лесно

.

.

Разширени функции ще обичам

Професионална имейл маркетинг също така да получите всичко, което трябва да управляват своите списъци насипни имейл:

• Бързо сегмент списъка си имейл, за да персонализирате който абонатът получи някои видове имейли
• Създаване Autoresponders, за да автоматизирате и-мейл кампании
• iContact поддържа подробна история на абоната действия, които да ви помогнат да промените своите кампании
• Проектиране и качите ваша собствена имейл шаблони
• Неограничен брой на имейл списъци

Downside: Подкрепата iContact часа

Единственият недостатък на iContact е часа те са на разположение за разговор. Поддръжка не е 24 × 7, но от 8am за 20:00 EST. Въпреки това, тяхната помощен персонал е много полезно, и много пъти ще откриете, че това е действително по-лесно да използват онлайн база от знания, която има видео демонстрации и стъпка по стъпка инструкции да ви помогне с всичко необходимо.

iContact цени

При ценообразуването iContact, вие плащате само за размера на имейли, които ще изпратите, което означава, че можете да започнете с един евтин план и да отдели повече, само когато знаеш, че си бюлетин е успешна. Плюс това, iContact е един от най-достъпни доставчици имейл маркетинг на разположение.

Контакти	Ежемесечно
250	$ 9,95
500	$ 14.00
1000	$ 19.00
2500	$ 29.00
5000	$ 47.00
10 000	74.00 $
15 000	$ 109.00
25 000	$ 149.00
35 000	$ 239.00
50 000	$ 379.00
75 000	$ 529,00
100 000	699.00 $

Той е подходящ за вас?

Защото от неговите възможности и лекота на употреба, iContact е най-добре и за двете нови търговци имейл тепърва започвате, както и напреднали маркетинг имейл, който имат дългогодишен опит. Въпреки това, ако сте Fortune 500 компания и имат изключително голям списък имейл (над 100 000 абонати), iContact може би не е точно за вас.

По принцип, iContact е всичко, което трябва да стартира успешно кампанията имейл маркетинг.

Промяна на таблица собствеността в SQL Server

Наскоро имах нещастен случай на живо сървър учредяване и използва само един потребител, който не е dbo. Или програмист не знам по-добре или ... ами ... той е село идиот ... така или иначе, така че ... на с код. Ето един прост, T-SQL изявление, че ще получите и линия през всички съхранени процедури, таблици и гледни точки и да ги актуализира за използване dbo (или друг потребител иска):

  1
 2
 3
 4
 5
 6
 7
 8
 9
 10
 11
 12
 13
 14
 15

 sysobjects WHERE xtype IN ( 'U' , 'V' , 'P' ) AND uid = user_id ( 'olddbuser' ) OPEN tblcur WHILE 1 = 1 BEGIN FETCH tblcur INTO @tbl IF @@fetch_status < 0 BREAK SET @tbl = 'olddbuser.' + @tbl EXEC sp_changeobjectowner @tbl , 'dbo' END DEALLOCATE tblcur ДЕКЛАРИРАМ @ TBL sysname ДЕКЛАРИРАМ tblcur нечувствителни курсор за изберете от sysobjects име КЪДЕ xtype В ("U", "V", "P") и UID = user_id ("olddbuser") Open tblcur докато 1 = 1 BEGIN FETCH tblcur ИМАТ @ TBL АКО @ @ fetch_status <0 BREAK SET @ TBL = 'olddbuser. "+ @ TBL EXEC sp_changeobjectowner @ TBL," dbo "край DEALLOCATE tblcur 

Използването openrowset да се свърже директно към друга база данни, без свързан сървър и изпълнение на съхранени процедури

  1
 2

 FROM OPENROWSET ( 'SQLOLEDB' , database_location;username;password , 'set fmtonly off exec database.dbo.stored_Procedure' ) AS Whatever SELECT * FROM OPENROWSET ("SQLOLEDB", database_location; потребителско име; парола ", определени fmtonly разстояние Exec database.dbo.stored_Procedure"), както Каквото 

Горната част на кода е очевидно. Аз бях само използва това в SQL 2005 г. обаче, така че ако тя не работи на SQL 2000, не влизат плаче за мен.

Замяна на database_location с IP / Дестинация на сървъра, който искате да се свържете с
Замяна на потребителско име и парола с ... ами ... да наистина трябва да се обясни това?
Замяна на база данни с каталог / база данни, която искате да Запитване
Замяна на stored_Procedure със съхранените процедури, които искате да изпълнява
В "Като Каквото" е необходимо. Можете да името на това всичко, което искате.

Ползвал съм по-горе, да намират база данни директно за извличане на данни / манипулация. Може да се простират дотам, че да се присъединят към вътрешния това в нормални заявки, ако не правите актуализация / добави линия курсора по този въпрос.

Наслаждавайте се. Отне ми известно време да го разбера

IP-към-Държава търсене, безплатно и 95% точен

Една от последните ми мнения, показа как да конвертирате адрес ПР на броя ПР , така бихте могли да направите едно търсене на IP-към-Държава база данни.

Въпреки това, аз открих следващата най-хубавото нещо. Maxmind.com е един от лидерите в GeoIP място и спортна база данни, която е над 99% точност. Това е платена версия. За моя проект все пак, аз само да познават страната, и трябваше да бъде доста точна.

Добре дошли в свободен JavaScript Maxmind на Адон API! 95% точни и не това, което искам да правя.

  1
 2
 3

 "text/javascript" src = "http://j.maxmind.com/app/country.js" ></ script > var countryCode = geoip_country_code ( ) ; alert ( countryCode ) ; <Скрипт тип = "текст / JavaScript" SRC = "http://j.maxmind.com/app/country.js"> </ ръкопис> Var countryCode = geoip_country_code (); сигнал (countryCode); 

И това е всичко! Не е нужно да бъде домакин на база данни, не е нужно да правите броя преобразуване себе си и почти всичко останало се погрижа за вас. Безплатната услуга също са включени Сити заявки! Включи и се наслаждавайте!

Ето и линк към сайта им: http://www.maxmind.com/app/javascript_city

Примка през 2-мерен масив с JQuery

Наскоро ми отвори очите в прекрасния свят на JQuery. * Натрупване на разстояние в една фантазия *

Ето един пример за това как да се линия през 2-мерен масив използване на JQuery. Забавни & Лесно:

  1
 2
 3
 4
 5
 6
 7

 [ [ 'USD' , 'US Dollar (USD)' , '$' ] , [ 'GBP' , 'British Pound (GBP)' , '£' ] , [ 'EUR' , 'Euro (EUR)' , '€' ] , [ 'AUD' , 'Australian Dollar (AUD)' , '$' ] , [ 'CAD' , 'Canadian Dollar (CAD)' , '$' ] , [ 'NZD' , 'New Zealand Dollar (NZD)' , '$' ] ] $. each ( currencyTocountryName , function ( i , value ) { alert ( value [ 0 ] ) ; alert ( value [ 1 ] ) ; } ) ; Var currencyTocountryName = [['USD', 'щатски долари (USD)', '$'], ["GBP", "Британска лира (GBP) ',' '] £, [" евро "," Евро (евро) ", '] €," AUD [', 'австралийски долар (AUD)', '$'], CAD "[", "Канадски долар (CAD) ',' $ '], [ "NZD", "Нова Зеландия долар (NZD) ',' $ ']] $. всеки (currencyTocountryName, функция (I, стойност) (сигнал (стойност [0]); сигнал (стойност [1]);)); 

Както виждате това е доста чисти напред. Не е нужно да има "аз" да е титуляр място, просто [стойност 0] ще получи първата стойност в масива. Това трябва да е най-лесно изпълнение на електрическа верига и масив, което съм правил от години. Разбира се, от сега мога да направя една проста линия JavaScript в моя сън. Но без да мисля и много по-малко код, JQuery ми позволява да се наберат на разстояние от тази сила. * Натрупване на разстояние в една фантазия отново *

Как да се покаже само времето стойност в getdate ()

Бях зает каша около днес и е следното Мисля, че някои хора ще оценят, когато аз просто исках да се сравни времето на деня, а не дата:

  1
 2
 3
 4

  ( DAY , - DATEDIFF ( DAY , 0 , GETDATE ( ) ) , GETDATE ( ) ) > '15:30:00.000' АКО DATEADD (ден, - DATEDIFF (ден, 0, GETDATE ()), GETDATE ())> "15: 30:00.000"
  BEGIN
     ПРИНТ "Уау"
  END 

toLowerCase () не е функция грешка

Какво намерих най-досадно е, че IE перфектно обработени това, но не Firefox.

Ето какво е това "toLowerCase () не е функция грешка" наистина означава:

Целта, която се опитвате да малки НЕ низ обект. Чрез използването на

  1

  typeof ( object ) ) ; сигнал (typeof (обект)); 

можете да определите какъв тип двигател JavaScript смята, че обектът е. Предлагаме ви решение е:

  1

  . toLowerCase ; обект. toString (). toLowerCase; 

Надявам се някой намери полезна тази информация, тъй като ми отне няколко часа на изследванията в областта на интернет, за да излезе с ясна и кратка ДО ТОЧКА отговор на това, което действително може да бъде и в действителност, бе.

Пожелавам на всички ноу-то-всичко е ще спре преструва знаят нищо за нищо и само вбеси на интернет.

Списък на всички пристанища

Бях тралене за информация и си помислих, че този сайт е много полезен. В него са изброени всички мрежови портове, използвани от "Майкрософт" продукти. Това е една лесна справка за всички, създаване на правилата на защитната стена или имат желание да се свърже с определени портове използват свои собствени софтуерни трети страни

Как се четат дистанционно опашката с System.Messaging

Виждайки това "черта" е без документи (или изглеждат) на MSDN и най уроци ще намерите там, чете и пише на частни местни опашки, аз мислех Бих акции как ще пиша или чета с отдалечена опашка използване System.Messaging:

  1

  "FormatName:Direct=TCP:127.0.0.1\Private$\queuename" msmqqueue. пътя = "FormatName: Директно = TCP: 127.0.0.1 \ Частни $ \ queuename" 

Надявам се тази информация се оказва valueble за някой, който може да се нуждаят и не може да намери всякаква документация никъде другаде.

Следваща страница »