Model 层: initialize(); onContruct(); ------- 初始化函数getSource() ------ 返回真正的表名称 columnMap() ------- key对应真正的数据库中字段value对应application中的字段( 极大的防止了sql注入 )....
分类:
其他好文 时间:
2015-03-02 18:57:21
阅读次数:
752
简单的说#{}和${}的区别:$是String 拼接插入的#则是占位符来做处理的,写法比如字符串类型,$需要自己添加''#就不需要添加,对于日志的差别就是$会打印在日志里面,#则显示?
大多数我们都是用#{} 因为可以防止sql注入,但是有时候${}还是很必要的,比如传入tableName,或者fieldName比如Order By id||time 就需要${}传入 #{}就无...
分类:
其他好文 时间:
2015-02-28 00:21:47
阅读次数:
430
QLite采用动态数据类型,当某个值插入到数据库时,SQLite将会检查它的类型,如果该类型与关联的列不匹配,SQLite则会尝试将该值转换成该列的类型,如果不能转换,则该值将作为本身的类型存储,SQLite称这为“弱类型”。但有一个特例,如果是INTEGER PRIMARY KEY,则其他类型不会被转换,会报一个“datatype missmatch”的错误。
SQLite支持NULL、INTE...
分类:
移动开发 时间:
2015-02-27 11:59:44
阅读次数:
165
特别提示:补丁下载地址为:http://download.ecshop.com开头,该地址为ecmall下载站,如果非以http://download.ecshop.com开头,请勿下载,同时请反馈给管理员。1、修复修改任意用户密码 危险级 高2、修复sql注入漏洞 危险级 高3、修复团购页面xss...
分类:
其他好文 时间:
2015-02-25 23:34:47
阅读次数:
169
我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下两个问题:为什么要使用PDO而不是mysql_connect?为何PDO能防注入?使用PDO防注入的时候应该特别注意什么?一、为何要优先使用PDO?PHP手册上说得很清楚:Prepared statements an...
分类:
其他好文 时间:
2015-02-24 21:00:14
阅读次数:
144
个人记录一、Web安全验证输入验证防范跨站脚本XSS攻击防止SQL注入图片验证码二、输入验证经典的安全法则:永远不要相信用户提交的数据验证内容:用户名,密码等格式验证长度防止数据库溢出错误邮件,手机,邮编等格式客户端:主要通过JavaScript来验证,过滤用户输入服务器端:检测用户输入的合法性,强...
分类:
Web程序 时间:
2015-02-22 21:52:15
阅读次数:
241
看到很多脚本小子,工具党用啊D,明小子,穿山甲对网站扫来扫去,拿个后台什么的,其实基础是最重要的,今天我来说一下纯手工注入一个站点。目标网址:http://www.******.com/about.asp?id=11.首先确认这里是否存在整型注入,很简单,url后加‘and1=1and1=2,不细说。同时我们还判..
分类:
数据库 时间:
2015-02-20 00:14:58
阅读次数:
221
在防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。1)addslashes()作用及使用addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经...
分类:
Web程序 时间:
2015-02-13 21:06:38
阅读次数:
229
前一阵子,一哥们问我Asp.Net怎么根据模板生成HTML静态页面?一、生成HTML好处HTML都静态化了,不用说,速度肯定是更快的(不用读取数据库能不快吗)更加的安全,脱离了数据库,防止了sql注入等等。更利于SEO,HTML页面更加容易被收录到,这点对站长朋友来说,可能更关心。二、Asp.Net...
分类:
Web程序 时间:
2015-02-12 19:58:44
阅读次数:
130
