2008年9月17日

Windows Live Wave3 Beta

微軟(Microsoft)正式推出了全套 Windows Live Wave3 Beta 测试版软件套装,包括:Messenger v9, Windows Live Movie Maker, Mail, Writer, Photo Gallery, Family Safety 以及 Outlook Connector。

下载地址如下:
英文版
http://g.live.com/1rebeta3/en/wlsetup-web.exe (線上安裝) http://g.live.com/1rebeta3/en/wlsetup-all.exe(直接安裝)

2008年9月10日

寫程式時,需注意的地方~~

●SQL Injection攻擊$SQL="select * from tableA where id=".$_GET['id'].";";像這樣對$_GET['id']原封不動放入SQL敘述裡,外部很有機會放入惡意程式碼來執行。例如將$_GET['id']改為;DROP TABLE tableA;則tableA會被刪除掉
●單引號「'」插入SQL敘述攻擊以PHP而言,可用mySQL_escape_string(),SQLite_escape_string()函式來跳脫SQL指令。
●OS命令植入攻擊(OS Command Injection)程式中若使用system(),倒引號「`」來執行shell,可能會遭受OS Command Injection。以PHP而言,可用escapeshellarg(),escapeshellcmd()函式避免風險。若php.ini裡的magic_quotes_gpc設為on,則GET/POST/Cookie傳入之資料中所包含的所有單引號「'」、雙引號「"」、反斜線「\」與null字元會自動被加上反斜線跳脫。
●排除外來的程式碼:常用的方法是將HTML標籤無效化,如將<轉換成<,將>轉換成>php可使用htmlspecialchars()函式轉換$data="&script>alert(1)&/script>";$data=htmlspecialchars($data);echo $data;
●SQL InjectionmySQL/php對策:$code=mySQL_escape_string($_GET['code']);
●php對策:$data=htmlspecialchars($data);