PIXNET Logo登入

Jonas's Blog

跳到主文

我的小小世界

部落格全站分類:不設分類

  • 相簿
  • 部落格
  • 留言
  • 名片
  • 1月 19 週四 201216:41
  • [IE]微軟真的太機車了~相容性檢視真的會害死我

IE相容性檢視
雖然從IE8開始,html、css、javascript都開始邁向標準化,不過這個偉大的微軟,
竟然發明了「相容性檢視」,目的是為了可以在新版的IE,使用舊版的瀏覽器引擎去開所謂「IE Only」的網頁,
不想完全拋棄就算了,竟然還預設內部網路的網站都強制用這種模式去開網頁!
 
(繼續閱讀...)
文章標籤

jonas1011 發表在 痞客邦 留言(2) 人氣(5,184)

  • 個人分類:Web開發
▲top
  • 2月 15 週日 200919:19
  • [Web][轉貼]建構ajax網站時的安全性問題

一、跨網域限制
使用ajax進行http通訊時,必須處理跨網域限制,也就是限制頁面裡所請求的URL必須與頁面本身屬於相同網域,
就像是JavaScript不能操作其他頁框(frame)或子視窗中其他網域之網頁的內容一樣。這是各種瀏覽器所現有的限制,
實作時不需特別在意。
二、跨網站指令碼(cross-site scripting;XSS)
通常發生在表單傳送資料時,如server端的test.php程式
<?php echo($_GET['test']); ?>
這時有人不經表單而自行傳送
test.php?test=<script>alert('您好')</script>
這樣的GET請求,JavaScript是會被執行的。
●排除外來的程式碼:
常用的方法是將HTML標籤無效化,如將<轉換成&lt;,將>轉換成&gt;
php可使用htmlspecialchars()函式轉換
$data="<script>alert(1)</script>";
$data=htmlspecialchars($data);
echo $data;
perl可用正規表示式(regular expression)來轉換
$data=~ s/</&lt;/g;
print $data;
●JSON eval動作應小心
eval("var test=" + oj.responseText);
這段程式碼必須小心responseText的內容不能是外部傳送進來的原來樣子。
三、SQL/OS命令植入攻擊
●SQL Injection攻擊
$SQL="select * from tableA where id=".$_GET['id'].";";
像這樣對$_GET['id']原封不動放入SQL敘述裡,外部很有機會放入惡意程式碼來執行。
例如將$_GET['id']改為
;DROP TABLE tableA;
則tableA會被刪除掉
●單引號「'」插入SQL敘述攻擊
以PHP而言,可用mySQL_escape_string(),SQLite_escape_string()函式來跳脫SQL指令。
●OS命令植入攻擊(OS Command Injection)
程式中若使用system(),倒引號「`」來執行shell,可能會遭受OS Command Injection。
以PHP而言,可用escapeshellarg(),escapeshellcmd()函式避免風險。
若php.ini裡的magic_quotes_gpc設為on,則GET/POST/Cookie傳入之資料中所包含的所有單引號「'」、
雙引號「"」、反斜線「\」與null字元會自動被加上反斜線跳脫。
四、密碼檔案管理
密碼不能寫在JavaScript裡。
密碼不能寫在伺服端的程式碼裡。如http sever出問題,php或perl等程式碼可能會見光死。
ajax進行http通訊時,以open方法傳入帳號、密碼。原則上這些帳號、密碼應由使用者輸入,
伺服端應該這些資料加密,並妥善存放在不會被公開到web上的目錄下。
五、參考表格:
SQL Injection
mySQL/php對策:$code=mySQL_escape_string($_GET['code']);
mySQL/perl對策:$code=~s/'/"/g; $code=~s/\\/\\\\/g;
pgSQL/php對策:$code=pgSQL_escape_string($_GET['code']);
pgSQL/perl對策:$code=~s/'/"/g; $code=~s/\\/\\\\/g;
SQLite/php對策:$code=SQLite_escape_string($_GET['code']);
OS Commmand Injection
Linux/php對策:$safe_text=escapeshellarg($text);
Linux/perl對策:$test=~s/'/\\'/g;
cross site scripting
php對策:$data=htmlspecialchars($data);
perl對策:$data=~s/</&lt;/g;
(繼續閱讀...)
文章標籤

jonas1011 發表在 痞客邦 留言(0) 人氣(303)

  • 個人分類:Web開發
▲top
  • 2月 07 週六 200914:44
  • [Web]DOCTYPE使用方法

DOCTYPE 切換運作的方式:

若有完整 URI 的 XHTML DOCTYPE,則切到標準模式,用 W3C 規則來讀網頁裡的 CSS 與 XHTML。
若有不完整或過時的 DOCTYPE 或沒有 DOCTYPE,就切成相容模式,用傳統方法來處理網頁。
(繼續閱讀...)
文章標籤

jonas1011 發表在 痞客邦 留言(0) 人氣(123)

  • 個人分類:Web開發
▲top
  • 12月 16 週二 200811:02
  • [Web]速查表(Cheat Sheets)

寫程式久了,常常會忘了一些函式或者想要查些其他函式,可是又不想把書一頁一頁翻,
這時候,速查表這個東西就派上用場了。以下是在網路上提供的速查表資源:
C# / .NET / LINQ 相關

.NET Format String Quick Reference [PDF]
Microsoft .NET Framework 3.5 Commonly Uses Types and Namespaces [PDF]
LINQ Cheat Sheet
LINQ Standard Query Operators Cheat Sheet
(繼續閱讀...)
文章標籤

jonas1011 發表在 痞客邦 留言(0) 人氣(204)

  • 個人分類:Web開發
▲top
  • 12月 12 週五 200816:24
  • [Web]關於WebMVC

「MVC」是『資料處理邏輯』、『程式流程』、『資料呈現』三者分離的概念。
在「深入淺出設計模式」一書裡,對 MVC 三個角色的描述分別為:

Model - 持有資料、狀態、程式邏輯,並提供介面供人取得資料與狀態
View - 用來呈現 Model 中的資料與狀態
Controller - 取得使用者的輸入後,並解讀此輸入以轉換成 Model 對應的動作
(繼續閱讀...)
文章標籤

jonas1011 發表在 痞客邦 留言(0) 人氣(104)

  • 個人分類:Web開發
▲top
1

第三屆丸咖獎貼紙

娛樂丸咖獎

藍澤光blog貼紙

娛樂丸咖獎

個人資訊

jonas1011
暱稱:
jonas1011
分類:
不設分類
好友:
累積中
地區:

熱門文章

  • (3,186)[ASP.NET]解決"無法存取 IIS Metabase"的問題
  • (1,460)[windows]關閉系統預設共用

文章分類

  • 羽南胡說八道 (1)
  • 48集團觀察日記 (10)
  • 動漫 (1)
  • windows (4)
  • html (1)
  • css (1)
  • 個人筆記 (1)
  • JavaScript (1)
  • Firefox (1)
  • ASP (2)
  • 好文轉貼 (2)
  • 日劇 (1)
  • Web開發 (5)
  • ASP.NET (1)
  • PHP (4)
  • apache (2)
  • 音樂感想 (1)
  • 生活記事 (1)
  • 未分類文章 (1)

最新文章

  • 羽南胡說八道講座《第一回》
  • [REPO]2016.3.21 松井玲奈FC活動@福岡
  • 解決非日文語系「NGT48メールマガジン会員」無法註冊問題
  • AKB48 37thシングル 選抜総選挙 -「二本柱の会」会員投票步驟
  • [REPO] Not yet already 発売記念 SPECIAL LIVE(2014/05/10)
  • [REPO]北原里英、倉持明日香來台握手會&簽名會(2014/1/16-17)
  • 五蛋巡迴福岡場
  • 二本柱の会註冊AKB票務中心的簡單教學
  • 第五回選抜総選挙感想
  • [IE]微軟真的太機車了~相容性檢視真的會害死我

最新留言

  • [15/05/25] 訪客 於文章「[PHP]require 和 inclu...」留言:
    > include可以用在迴圈;require不行。 ...
  • [13/09/18] 夜隨緣 於文章「[IE]微軟真的太機車了~相容性檢視真的...」留言:
    不用期待 ie10 了! 很多網站跟新技術套件都嗆明 不再支...
  • [13/08/13] Ray 於文章「[IE]微軟真的太機車了~相容性檢視真的...」留言:
    IE10更悲劇啊,已經不能算是正常的瀏覧器了,甚至叫BETA...
  • [13/04/14] 天秤女~佳佳 於文章「[PHP]不同的PHP樣板引擎...」留言:
    我只聽過第一個 哈哈!!!!...
  • [11/11/08] hojc 於文章「[apache]ReWrite功能...」留言:
    拾慧了 感謝...
  • [08/12/14] jonas1011 於文章「老哥的懇親會...」留言:
    剛申請的 有免費的VIP可以用...
  • [08/12/13] labtec 於文章「老哥的懇親會...」留言:
    這多久的新聞了阿 原來你也有pixnet喔...

文章精選

文章搜尋

誰來我家

參觀人氣

  • 本日人氣:
  • 累積人氣: