分类: 工作预览模式: 普通 | 列表

IBM Rational AppScan扫描到的问题修改

目前因为客户要求我们检查项目的安全性,所以我们就用了IBM Rational AppScan扫描了一下系统。
不扫不知道,一扫吓一跳啊。我们的系统被扫出来等级为中等以上问题还真不少。
当然,这扫得出来的不全部都是问题,问题在于这个扫描工具的推理不是很严谨的,而且也不是针对IIS的,很多其它系统的规则也放在里面。为什么?因为我用了默认的规则,因为我们推想,客户不会同意我们去改默认规则的。呵呵~所以以下的,大多是针对这些做表面功夫的。

扫出来的中等程序以上的问题有3个,分别如下:
1、Authentication Bypass Using SQL Injection
其实已经是没有问题的了,全部都采用了参数化。但依然能扫出来,不知何解,故我们改了一下userid,password控件的名称,问题解决……

2、Alternate Version of File Detected
问题产生的原因是当访问./default.aspx 时,IIS自动去掉了前面的“./”返回了正确的响应。
解决暂无

查看更多...

分类:工作 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 536

IIS 6.0下安装SSL数字证书实现https访问

如何在IIS中实现HTTPS安全访问,请看~~证书是免费申请的

查看更多...

分类:工作 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 409

DevExpress的网站无法显示样式

      今天用了DevExpress来弄了个网站,功能的确是非常强大啊。还有很多现成的样式,不需要自己去费心了。直接弄出来就可以见人了。但问题是……我直接发报出来后,放到IIS时,本地是没有问题的。到了服务器上,就完全没办法显示原来的样子了。所有DevExpress的样式全部都不见了~~
在G上搜了一会,也没有找到。没办法,似乎DevExpress的中文资料很少~~英文也没有具体的答案。
后来终于在它官方网站上,找到一个提示,试了一下把DevExpress.Web.ASPxThemes.v10.1.dll加进项目中,立即生效~~呵呵。

所以用DevExpress来做网站,有三点是需要注意的:
1、控件如果你没钱买,请自行编绎后再用。具体是怎么搞,请到看这里:http://www.cnblogs.com/shaoming01/archive/2010/09/09/shaoming01.html,不然会提示是试用的。
2、当你在项目中拖控件进入页面时,项目会自动添加相关的引用--“可能是DevExpress Tool的功能”,但这些DLL都是直接引用的,没有复制到BIN目录,所以,如果你需要发布的话,请把相关的DLL属性改为COPY
3、添加DevExpress.Web.ASPxThemes.v10.1.dll和DevExpress.Utils.v10.1.dll,即使现在项目中没有直接用于,但也会有相关使用的。如样式问题等~

查看更多...

分类:工作 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 694

--> 生成测试数据: #T
IF OBJECT_ID('tempdb.dbo.#T') IS NOT NULL Drop TABLE #T
Create TABLE #T (ID VARCHAR(3),GID INT,Author VARCHAR(29),Title VARCHAR(39),Date DATETIME)
Insert INTO #T
Select '001',1,'邹建','深入浅出SQLServer2005开发管理与应用实例','2008-05-10' UNION ALL
Select '002',1,'胡百敬','SQLServer2005性能调校','2008-03-22' UNION ALL
Select '003',1,'格罗夫Groff.J.R.','SQL完全手册','2009-07-01' UNION ALL
Select '004',1,'KalenDelaney','SQLServer2005技术内幕存储引擎','2008-08-01' UNION ALL
Select '005',2,'Alex.Kriegel.Boris.M.Trukhnov','SQL宝典','2007-10-05' UNION ALL
Select '006',2,'飞思科技产品研发中心','SQLServer2000高级管理与开发','2007-09-10' UNION ALL

查看更多...

分类:工作 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 782

.NET版的SQLITE在64位系统上的问题

原因是如果是“所有平台”,那么CLR只会搜索针对“所有平台”的System.Data.Sqlite.dll。而如果是"X86"或"X64",则会搜索相同平台及所有平台的版本。

而System.Data.Sqlite.dll本身因为使用了 Native Code, 所以不能编译成所有平台的版本。


所以,可以自己下载源码来编译,或者直接去下载最新版的64位版本。
http://sourceforge.net/projects/sqlite-dotnet2/files/

查看更多...

分类:工作 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 1006

在VPS上安装SQL2005 EXPRESS

终于,停止了N天的VPS恢复了,但里面的东西全部都没有了,又要重新开始,对于这样的JS,我已经实在无话可说了。又要浪费我N多的时间去处理这些事情了!

1、SQL决定改为安装SQL EXPRESS版了,因为看起来的功能差不多,而且我只是用到很小的一部分功能而已。EXPRESS版应该已经够用了。

出师不利,一安装就出错了,提示“An installation package for the product Microsoft SQL Server Native Client cannot be found. Try the installation again using a valid copy of the installation package 'sqlncli_x64.msi'”。这个问题解决办法就是,直接去控制面板那里把“SQL Server Native Client ”删除再装一次就行了。

官方有类似的问题解决方案,不过我试了无效:http://support.microsoft.com/kb/929667/en-us?fr=1

查看更多...

分类:工作 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 775

.NET面试知识点

1、如何处理并发?

你说的并发我碰到过的有两种,一种是应用服务器的并发(比如IIS并发)和数据库服务器的并发,前者需要通过负载均衡和多应用服务器来解决,后者也可以通过架构多数据库服务器来解决。另外一种是应用程序中数据的并发,比如A用户登陆到办公系统,B用户也登陆到办公系统,两个人对于同一条数据都有修改权限。现在假设A用户打开了修改界面(已经读取了数据库中某条具体的数据),还没有点修改按钮;这个时候B用户也打开了修改页面,并且点了修改按钮;这个时候A用户如果再去点修改按钮,那么这个就是我说的后面一种并发类型。这种并发是我们程序中需要考虑的。常见的有三种做法,一种就是后面的那个人修改的直接把前面人修改的覆盖掉(这种是偷懒的办法,用于不是很重要的数据);第二种处理办法是A用户点修改的时候,弹出一个对话框来,告诉用户这条记录已经被B用户修改过了,并且修改后的内容显示出来,问A用户是否继续保存(这种是比较好的解决办法,但是程序弄起来比较麻烦);第三种就是直接报错,告诉人家该记录因为什么原因不能保存。

2、工厂模式与抽象工厂有什么区别?
工厂方法模式:
一个抽象产品类,可以派生出多个具体产品类。  
一个抽象工厂类,可以派生出多个具体工厂类。  
每个具体工厂类只能创建一个具体产品类的实例。

抽象工厂模式:

查看更多...

分类:工作 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 540

JPG图片与ZIP合并?请看过来~

揭密:把jpg图片文件和rar或者zip文件合并

1.将需要合并的图片文件和rar文件保存到一个文件夹里面。为了便于说明,假设图片文件名为“1.jpg",再假设rar压缩文件名为"2.rar",然后假设两个文件都放到d盘根目录下。
2.打开windows桌面左下角的“开始”——“运行”,输入“cmd”,进入dos页面,以1所提到的假设为例,输入"d:",然后回车,进入d盘根目录
3.接着输入以下命令:
copy/b  1.jpg + 2.rar  3.jpg
命令输入完毕后回车,在d盘根目录下就会有一个3.jpg文件。这个文件就是合并后的文件,平时显示为一个图片,可正常观看图片。把该图片后缀名改为.rar,就可以得到你所要的压缩包。如果还想看图片,那么再把后缀名改为.jpg 即可。
怎么样,简单吧?这种方法不需要网上说的什么合并软件,只用一条简单的dos命令就实现了

注:打命令时注意有空格,jpg/gif文件必需放在rar的前面,并且生成的文件也必需是jpg或gif。

查看更多...

分类:工作 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 563

关于PHP的一些问题

问题不少:

1、DEDECMS登陆时提示验证码不正确;WORDPRESS登陆时正常,但无法进入后台;

查看PHP.INI 有:session.save_path = /tmp ,这个目录本来应该是c:\tem的,但我的系统中没有,新建了一个……

另,依然无法广告,真是火大了,靠!!
最后,直接在网站的目录下,加用户:IUSER_机器名,IWAM_机器名,默认权限就行了……

适用类似无法登录后台:如DEDECMS正常登录后台,但又跳到登录界面的情况,或DEDECMS的验证码不正确等……

查看更多...

分类:工作 | 固定链接 | 评论: 2 | 引用: 0 | 查看次数: 583

关于MYSQL编码转换

很简单适用于各种码之间的转换,这里以GBK转UTF8为例。
假设 有一个数据库名为test,中文设定为GBK,欲转换为UTF8。
先使用如下命令:
mysqldump -uroot -pxxxxxxx test>test.sql
这里使用了root账号,密码为xxxxxxx,使用者可替换自己使用的账号密码。
然后使用文本编辑器打开test.sql,查找“DEFAULT CHARSET=gbk”,替换为“DEFAULT CHARSET=utf8”.
然后保存。
请注意文本编辑器要将保存的文件保存为相应的格式,否则可能出问题。
然后建立一个新数据库testnew,字符集使用utf8。
使用如下命令:
mysql -uroot -pxxxxxx testnew<test.sql

查看更多...

分类:工作 | 固定链接 | 评论: 0 | 引用: 0 | 查看次数: 524