《SQL注入攻击与防御》之防御

2017.03.29

代码层防御

领域驱动的安全性

SQL注入之所以发生,是因为我们的应用程序不正确的将数据在不同表示方式之间进行映射

通过将数据封装到有效的值对象中,并限制对原始数据的访问,我们就可以控制对数据的使用

使用过参数化语句

动态SQL(或者将SQL查询组装成包含受用户控制的输入的字符串并提交给......

继续更新自己的vimrc配置

2017.03.25

感觉拷贝来一些插件什么的,有的设置和快捷键,自己看的时候知道,但是不常用的话,过些天再一看手生了,也就忘记了。

有一些很有用的技巧,得写下来,放着,以备自己忘记了,再来查看。

高亮当前光标的位置,横着的一条,竖着的一条,省的自己满屏幕找光标在哪

mapleader设置为空格,有效利用上大拇指和......

《SQL注入攻击与防御》之高级攻击

2017.03.25

SQL盲注利用

寻找并确认SQL盲注

无效数据将返回通用错误页面而非详细错误,这时可通过包含副作用比如时间延迟来确认SQL注入,还可以拆分与平衡参数。如果数字字段为5,就提交3+2或者6-1;如果字符串参数中包含"MadBod",就提交‘Mad’||'Bod'......

我的vim配置说明

2017.03.01

参考了不少书籍和网站,最终形成一个自己觉得顺手的vim配置文件,存在github的gist了,有兴趣的朋友可以看看,交流交流。

.vimrc

.vimrc.bundles

要相关插件都正常工作的话,需要手动执行的一些操作如下:

mkdir ~/.vim

touch .vimrc

touch .......

vim中文手册 vimtutor中文版

2017.02.22

最近在学习VIM的使用,在命令行里输入vimtutor可以打开基本教程,然后跟着练习一个一个做下来,也算是入门了。不过因为没有时刻都在用,所有有时候有的命令就忘记了。于是把教程中的每一课的summary都翻译成中文,保存下来,供以后查阅。

第一课 摘要

1. 光标......

Go get your tennis ball

2017.02.18

Dropbox创始人在2013年的MIT毕业典礼的演讲

youtube video:

看完之后,我的一句话评论:Go get your tennis ball.

大意这么理解:有很多遛狗的人可能都这么玩,用网球遛,当你抓着球做出准备丢的动作的时候,你家狗的双眼会目不转睛的盯着球,然后当你一......

python scrapy爬虫练手

2017.02.16

简介

初步了解和实践了一下用python写个爬虫,有现成的库,学起来的方便。

用的爬虫框架是:scrapy 官网链接

参考的网页是:Segmentfault.com的这篇文章

我的代码存放在:GitHub link

新增加的技能点

基本了解scrapy的用法,爬虫的最基本的思路

pyt......

《SQL注入攻击与防御》之攻击

2017.02.11

重点看了攻击方面的内容,防御没怎么看,我觉得在攻击方面的知识没有消化理解的话,可能防御类的知识也会比较糊涂,决定过一段时间,自己实践过sql攻击之后,有了一些理解,再来学习防御,会有收获。

计划:去ichunqiu学习学习sqlmap的使用,之前简单学习过,这次得找个站练练手,至少成功实践一次

......

读完《乔布斯传》《Google未来之境》之后的思考

2017.02.07

一句话总结

About Steve Jobs

做人做事,不为钱,只惟心

高度专注,有所失,为极致

About Google

It's meaningless if not 10x times faster

对一句话总结的注释如下

看完乔布斯传,被其个人魅力所折服,又去下载了200......

又一次参加hackathon活动

2017.02.06

又一次参加了hackathon活动,是贵司内部组织的.

我们队的作品是一个网站,收集了公司的github上最近几个月提交的代码的数据,然后分析大家的编码行为习惯,然后展示在我们的网站上。所谓代码行为习惯,例如变量名称命名的大写小写啦,常量名称全部大写啦,tab和空格啦,操作符前后是否有空格啦等等。......